是否可以在 Azure 函数和 Azure Web API 之间启用托管标识？

Posted 2023-03-31

【中文标题】是否可以在 Azure 函数和 Azure Web API 之间启用托管标识？

【英文标题】：Is it possible to enable Managed Identity between Azure function and Azure Web API?

【发布时间】：2021-03-03 04:03:34

【问题描述】：

我目前在Azure Function 和Web API 之间使用Basic 身份验证。这并不安全，因此我在寻找替代方案并在 Azure 中找到了 managed identity 功能。但是，我看不到可以在 Web API 和 Azure 功能之间启用此功能。

注意：我们可以在Azure Function和KeyVault之间启用，但不能在web API和azure函数之间启用。

寻找如下解决方案

【问题讨论】：

所以您想使用 Azure Function 托管标识来访问 Web API 而不是使用基本身份验证？

@StanleyGong 是的，没错。

如果是这样，我认为您可以使用 EasyAuth（通过 Azure AD）来保护您的 Azure Web API：c-sharpcorner.com/article/…，以便您的 Web API 将受到 Azure AD 的保护。完成此步骤后，您的功能端可以使用托管身份获取访问令牌来访问您的 Web API

是的，您可以参考此文档：docs.microsoft.com/en-us/azure/app-service/… 当您尝试获取访问令牌时，您唯一需要做的就是将资源参数更改为您的 Azure AD 应用程序 ID您为 Web API 配置了 EasyAuth。如果您有任何问题，请告诉我:)

这正是我提供的解决方案。那么我的代码和解决方案有用吗？如果有帮助，您能否将其标记为答案？

【参考方案1】：

我为我的应用服务启用了 Easy Auth：

您可以在高级刀片中找到其客户端 ID：

所以我们需要获取此资源的访问令牌以调用 API，只需尝试以下代码（我假设您已为您的函数启用托管身份）：

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;

public static async Task<IActionResult> Run(HttpRequest req, ILogger log)

    log.LogInformation("C# HTTP trigger function processed a request.");
    var endpoint = Environment.GetEnvironmentVariable("IDENTITY_ENDPOINT");
    var identity_header = Environment.GetEnvironmentVariable("IDENTITY_HEADER");
    //chnage your client ID value here.
    var resource = "4df52c7e-3d6f-4865-a499-cebbb2f79d26";
    var requestURL = endpoint + "?resource=" + resource + "&api-version=2019-08-01";

    HttpClient httpClient = new HttpClient();
    httpClient.DefaultRequestHeaders.Add("X-IDENTITY-HEADER", identity_header);
    HttpResponseMessage response = await httpClient.GetAsync(requestURL);
    response.EnsureSuccessStatusCode();
    string responseBody = await response.Content.ReadAsStringAsync();
    var access_token = JsonConvert.DeserializeObject<TokenResp>(responseBody).access_token;

    //After get access token for app: 4df52c7e-3d6f-4865-a499-cebbb2f79d26, call the API that protected by it
    //chnage your api url here.
    var APIURL = "https://frankapp.azurewebsites.net";
    HttpClient callAPI = new HttpClient();
    callAPI.DefaultRequestHeaders.Add("Authorization","Bearer "+ access_token);
    HttpResponseMessage APIResponse = await callAPI.GetAsync(APIURL);
    //check the response code to see if called the API successfully.
    return new OkObjectResult(APIResponse.StatusCode);


public class TokenResp 
 public string access_token  get; set; 
 public string expires_on  get; set; 
 public string resource  get; set; 
 public string token_type  get; set; 
 public string client_id  get; set; 

结果：

【讨论】：

这真的很有帮助。在帮助社区方面做得很好。

您能告诉我如何保护客户 ID 吗？我的意思是，任何函数都知道这个客户端 ID 能够调用 API？ API如何知道它的真实客户端？

【参考方案2】：

您好，我可以看到您要求在 Azure Function 和 Web API 之间进行交换，理论上，它应该是您的资源服务器（Apis）而不是托管标识。在 Azure AD 之上有围绕代表身份验证/客户端授予凭据的概念。你可以按照这个学习教程Build Azure functions with Microsoft Graph 开始思考你希望你的身份流是什么样子——简单的方法是代表使用 azure 函数和 web api，访问令牌断言在两者的公共类中实现。

【讨论】：

你能用图表解释一下吗？它有助于了解更多