如何获取针对特定用户分配的Azure App Service托管服务标识的令牌?

时间:2019-01-31 22:34:24

标签: azure azure-active-directory azure-web-app-service azure-msi

我正在尝试获取特定用户定义身份的msi令牌。我们的应用程序服务具有2个用户定义的身份,我想要代表用户分配的身份之一的令牌。

代码如下:

        HttpWebRequest req = (HttpWebRequest)WebRequest.Create(
            "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/&object_id=<ObjectId>&client_id=<clientId>");

        req.Headers["Metadata"] = "true";
        req.Method = "GET";

        try
        {
            // Call /token endpoint
            HttpWebResponse response = (HttpWebResponse)req.GetResponse();

            // Pipe response Stream to a StreamReader, and extract access token
            StreamReader streamResponse = new StreamReader(response.GetResponseStream());
            string stringResponse = streamResponse.ReadToEnd();
            Dictionary<string, string> list =
                 JsonConvert.DeserializeObject<Dictionary<string, string>>(stringResponse);
            string accessToken = list["access_token"];

            System.IO.File.WriteAllText(@".\Log.txt", accessToken);
        }
        catch (Exception e)
        {
            string errorText = String.Format("{0} \n\n{1}", e.Message, e.InnerException != null ? e.InnerException.Message : "Acquire token failed");
            System.IO.File.WriteAllText(@".\Log.txt", errorText);
            throw;
        }

它已部署在Azure应用服务中。当我点击此部分时,我看到此错误: 尝试以其访问权限禁止的方式访问套接字

我尝试使用Kudu控制台连接到http://169.254.169.254以获取令牌。但是此端点似乎无法访问。

enter image description here

我确实尝试使用Microsoft.Azure.Services.AppAuthentication中的AzureServiceTokenProvider生成msi令牌,但是找不到有关如何将其用于多个用户分配的身份的任何文档。

编辑:

更新1:

我尝试使用MSI_ENDPOINT环境变量中的端点,而不是169.254.169.254。但是,当我运行应用程序服务时,似乎未设置MSI_ENDPOINT值。 这是我尝试过的代码:

   var endpoint = Environment.GetEnvironmentVariable("MSI_ENDPOINT");
    string apiVersion = "2018-02-01";
    string resource = "https://management.azure.com/";
    string objectId = "<objectid>";
    string clientId = "<clientId>";

        // Build request to acquire managed identities for Azure resources token
        //HttpWebRequest req = (HttpWebRequest)WebRequest.Create(
        //    "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/&object_id=4aef1720-b3b1-4935-8d68-e330508907fa&client_id=558ecc75-8697-4419-bab9-aa2c87043cfd");

        HttpWebRequest req = (HttpWebRequest)WebRequest.Create(
       String.Format(
            "{0}?resource={1}&api-version={2}&object_id={3}&client_id={4}",
            endpoint,
            resource,
            apiVersion,
            objectId,
            clientId));

        req.Headers["Metadata"] = "true";
        req.Method = "GET";

        try
        {
            // Call /token endpoint
            HttpWebResponse response = (HttpWebResponse)req.GetResponse();

            // Pipe response Stream to a StreamReader, and extract access token
            StreamReader streamResponse = new StreamReader(response.GetResponseStream());
            string stringResponse = streamResponse.ReadToEnd();
            Dictionary<string, string> list =
                 JsonConvert.DeserializeObject<Dictionary<string, string>>(stringResponse);
            string accessToken = list["access_token"];

            System.IO.File.WriteAllText(@".\Log.txt", accessToken);
        }
        catch (Exception e)
        {
            string errorText = String.Format("{0} \n\n{1}", e.Message, e.InnerException != null ? e.InnerException.Message : "Acquire token failed");

            string log = "MSI_ENDPOINT : " + endpoint + "\n";
            log += ("ErrorText : " + errorText + "\n");
            System.IO.File.WriteAllText(@".\Log.txt", errorText);
            throw;
        }

1 个答案:

答案 0 :(得分:3)

首先,此链接How to use managed identities for App Service and Azure Functions提供了特定于MSI for App Services的良好文档。

这是快速的示例代码..如您在问题中所问的那样,获取特定用户分配的托管服务标识的令牌。

  • resource-应为其获取令牌的资源的AAD资源URI。
  • apiversion-要使用的令牌API的版本。当前仅支持“ 2017-09-01”。

  • clientId-要使用的用户分配的标识的ID。如果省略,则使用系统分配的身份。 

    public static async Task<HttpResponseMessage> GetToken(string resource, string apiversion, string clientId)  
{
    HttpClient client = new HttpClient();   
    client.DefaultRequestHeaders.Add("Secret", Environment.GetEnvironmentVariable("MSI_SECRET"));
    return await client.GetAsync(String.Format("{0}/?resource={1}&api-version={2}&clientid={3}", Environment.GetEnvironmentVariable("MSI_ENDPOINT"), resource, apiversion,clientId));
}

    总体而言,我在上面的示例代码中看到了一些应注意的变化:

    1. 在运行时使用MSI_ENDPOINT构造URL
    2. 参数应该是clientid而不是client_id
    3. 不需要参数object_id
    4. api版本应为“ 2017-09-01”,因为以上链接中的文档说这是唯一受支持的版本。

  • 关于运行应用程序服务时未设置MSI_ENDPOINT值的问题,请从Microsoft文档的同一链接中查看此注释

    enter image description here

  • 与使用的所有参数相关的文档截图

    enter image description here

相关问题
最新问题