是否可以在 Azure 函数和 Azure Web API 之间启用托管标识?
Posted
技术标签:
【中文标题】是否可以在 Azure 函数和 Azure Web API 之间启用托管标识?【英文标题】:Is it possible to enable Managed Identity between Azure function and Azure Web API? 【发布时间】:2021-03-03 04:03:34 【问题描述】:我目前在Azure Function
和Web API
之间使用Basic
身份验证。这并不安全,因此我在寻找替代方案并在 Azure 中找到了 managed identity
功能。但是,我看不到可以在 Web API 和 Azure 功能之间启用此功能。
注意:我们可以在Azure Function
和KeyVault
之间启用,但不能在web API和azure函数之间启用。
寻找如下解决方案
【问题讨论】:
所以您想使用 Azure Function 托管标识来访问 Web API 而不是使用基本身份验证? @StanleyGong 是的,没错。 如果是这样,我认为您可以使用 EasyAuth(通过 Azure AD)来保护您的 Azure Web API:c-sharpcorner.com/article/…,以便您的 Web API 将受到 Azure AD 的保护。完成此步骤后,您的功能端可以使用托管身份获取访问令牌来访问您的 Web API 是的,您可以参考此文档:docs.microsoft.com/en-us/azure/app-service/… 当您尝试获取访问令牌时,您唯一需要做的就是将资源参数更改为您的 Azure AD 应用程序 ID您为 Web API 配置了 EasyAuth。如果您有任何问题,请告诉我:) 这正是我提供的解决方案。那么我的代码和解决方案有用吗?如果有帮助,您能否将其标记为答案? 【参考方案1】:我为我的应用服务启用了 Easy Auth:
您可以在高级刀片中找到其客户端 ID:
所以我们需要获取此资源的访问令牌以调用 API,只需尝试以下代码(我假设您已为您的函数启用托管身份):
#r "Newtonsoft.Json"
using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
public static async Task<IActionResult> Run(HttpRequest req, ILogger log)
log.LogInformation("C# HTTP trigger function processed a request.");
var endpoint = Environment.GetEnvironmentVariable("IDENTITY_ENDPOINT");
var identity_header = Environment.GetEnvironmentVariable("IDENTITY_HEADER");
//chnage your client ID value here.
var resource = "4df52c7e-3d6f-4865-a499-cebbb2f79d26";
var requestURL = endpoint + "?resource=" + resource + "&api-version=2019-08-01";
HttpClient httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Add("X-IDENTITY-HEADER", identity_header);
HttpResponseMessage response = await httpClient.GetAsync(requestURL);
response.EnsureSuccessStatusCode();
string responseBody = await response.Content.ReadAsStringAsync();
var access_token = JsonConvert.DeserializeObject<TokenResp>(responseBody).access_token;
//After get access token for app: 4df52c7e-3d6f-4865-a499-cebbb2f79d26, call the API that protected by it
//chnage your api url here.
var APIURL = "https://frankapp.azurewebsites.net";
HttpClient callAPI = new HttpClient();
callAPI.DefaultRequestHeaders.Add("Authorization","Bearer "+ access_token);
HttpResponseMessage APIResponse = await callAPI.GetAsync(APIURL);
//check the response code to see if called the API successfully.
return new OkObjectResult(APIResponse.StatusCode);
public class TokenResp
public string access_token get; set;
public string expires_on get; set;
public string resource get; set;
public string token_type get; set;
public string client_id get; set;
结果:
【讨论】:
这真的很有帮助。在帮助社区方面做得很好。 您能告诉我如何保护客户 ID 吗?我的意思是,任何函数都知道这个客户端 ID 能够调用 API? API如何知道它的真实客户端?【参考方案2】:您好,我可以看到您要求在 Azure Function
和 Web API
之间进行交换,理论上,它应该是您的资源服务器(Apis)而不是托管标识。在 Azure AD 之上有围绕代表身份验证/客户端授予凭据的概念。你可以按照这个学习教程Build Azure functions with Microsoft Graph 开始思考你希望你的身份流是什么样子——简单的方法是代表使用 azure 函数和 web api,访问令牌断言在两者的公共类中实现。
【讨论】:
你能用图表解释一下吗?它有助于了解更多以上是关于是否可以在 Azure 函数和 Azure Web API 之间启用托管标识?的主要内容,如果未能解决你的问题,请参考以下文章
Azure 服务总线:使用函数、服务结构和 Web 作业? [关闭]
将Azure SQL Server的访问权限限制为特定的azure Web应用程序
是否可以在 Windows azure 上拥有一个具有多个域和 SSL 证书的 Web 角色?