我有一个 ASP.NET MVC Web 应用程序作为 Azure 应用服务中的 Web 应用程序运行。此 Web 应用程序通过 HttpClient 从 Controller 调用 Azure 函数。身份验证/授权是在 Web 应用程序中使用 Azure Active Directory 配置的。我还需要在调用 Azure 函数时对用户进行身份验证,以便我可以访问用户声明。 我还尝试在 Azure 函数本身中配置身份验证,但这会导致每当我从 Web 应用程序调用该函数时都会出现“未经授权的响应”。 有没有办法让 Web 应用程序和 Azure 功能使用相同的 Active Directory 身份验证。这样,当用户通过 Web 应用程序的身份验证时,他不需要在 Azure 函数中再次进行身份验证,并且所有用户声明都将在函数本身中可用?
最佳答案
我可以想到三种不同的可行方法。
使用不记名 token 。
创建两个单独的应用程序注册,一个用于 Web 应用程序,一个用于函数应用程序。为各个应用程序设置身份验证/授权功能,并将两者配置为需要 AAD 访问。授予 Web 应用程序的 AAD 应用程序注册权限以访问功能应用程序的 AAD 应用程序注册。
为了确保您的 Web 应用程序的访问 token 是可用于联系您的函数应用程序的 JWT,您需要向您的 Web 应用程序添加其他登录参数。为此,请遵循 instructions here ,而是设置 additionalLoginParams至resource=<your-function-app-registration-client-id> .
当用户向 Web 应用程序发出经过身份验证的请求时,应填充名为 X-MS-TOKEN-AAD-ACCESS-TOKEN 的 header 。它应该是函数应用程序的应用程序注册受众的访问 token 。然后可以将其用作函数应用程序 API 调用的承载 token ,这应满足函数应用程序的身份验证/授权要求。
使用代流
创建两个单独的应用程序注册,一个用于 Web 应用程序,一个用于函数应用程序。为各个应用程序设置身份验证/授权功能,并将两者配置为需要 AAD 访问。授予 Web 应用程序的 AAD 应用程序注册权限以访问功能应用程序的 AAD 应用程序注册。
然后,按照 on-behalf-of flow 操作以便 Web 应用程序可以获得功能应用程序经过身份验证的用户的访问 token 。有几个库可以帮助完成此流程。请参阅ADAL如果您的应用程序注册是 AAD V1 应用程序,或 MSAL如果您的应用注册是 AAD V2 应用。
使用客户端定向流 (X-ZUMO-AUTH)
创建两个单独的应用程序注册,一个用于 Web 应用程序,一个用于函数应用程序。为各个应用程序设置身份验证/授权功能,并将两者配置为需要 AAD 访问。授予 Web 应用程序的 AAD 应用程序注册权限以访问功能应用程序的 AAD 应用程序注册。
为了确保 Web 应用程序的访问 token 可用于针对函数应用程序进行身份验证,您需要向 Web 应用程序添加其他登录参数。为此,请遵循 instructions here ,而是设置 additionalLoginParams至resource=<your-function-app-registration-client-id> .
当用户向 Web 应用程序发出经过身份验证的请求时,应填充名为 X-MS-TOKEN-AAD-ACCESS-TOKEN 的 header 。它应该是函数应用程序的应用程序注册受众的访问 token ,以及 header X-MS-TOKEN-AAD-ID-TOKEN 中的 id token 。使用有效负载向 https://.azurewebsites.net/.auth/login/aad 发出 POST 请求
{"id_token": <id-token>, "access_token": <access-token>} 。这将返回一个 session token ,您可以将其附加为 X-ZUMO-AUTH用于验证请求的 header 。
注意:此选项中的声明将是身份验证 token 的声明,而不是像前两个选项中那样的身份提供者的声明。要获得与其他选项相同的声明,请设置应用程序设置 WEBSITE_AUTH_ZUMO_USE_TOKEN_STORE_CLAIMS至true .
关于azure - 当用户在 Web 应用程序中进行身份验证时,对 azure 函数进行用户身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56430002/