如何为Azure AppService配置access_token以允许访问两个通过Azure Active Directory保护的FunctionApp?
我在AppService中托管了一个Angular应用,而两个FunctionApp作为API。所有3个都向Azure AD注册并配置为具有Azure AD身份验证。对于每个FunctionApp,AD用户可以具有不同的appRoles。
已为AppService授予访问两个FunctionApp的权限。
它还配置为在access_token中返回JWT。但是,我只能在AppService的AdditionalLoginParams中将一个应用程序添加为资源。
因此,从AppService调用/.auth/me之后生成的access_token仅针对一个FunctionApp,而对另一个FunctionApp不具有所有权。这意味着我无法从AppService中的Angular代码访问两个FunctionApp。
有什么方法解决此问题并获得access_token(s)访问两个FunctionApp?
1 个答案:
答案 0 :(得分:1)
Cannot Share Azure AD Tokens for Multiple Resources
首先想到的是对多个Azure AD资源使用相同的访问令牌。不幸的是,这是不允许的。 Azure AD为特定资源(映射到Azure AD应用程序)颁发令牌。调用AcquireToken时,我们需要提供一个resourceID。结果是令牌只能用于与提供的标识符匹配的资源。
解决方法
要做的事情是使用在初始令牌请求期间获得的刷新令牌来请求对第二个资源的访问令牌。一个访问令牌仅适用于一种资源。没有理由不应该给您的代码增加任何复杂性。 ADAL(或MSAL)负责管理令牌,跟踪哪个令牌用于哪个资源,并在需要时为新资源请求其他访问令牌。
有关更多详细信息,您可以参考此SO issue。
- 通过ASP.NET访问Active Directory记录
- 访问Azure Active Directory安全资源时出错
- 将虚拟目录映射到Azure AppService
- 使用Azure Active Directory配置用于身份验证的云服务
- Azure活动目录 - 允许令牌受众
- 未为Azure WebApp调用OpenIdConnectAuthenticationNotifications.AuthorizationCodeReceived事件由Azure Active Directory保护
- 如何将Azure AD(Active Directory)B2C与现有的Azure AppService集成?
- Azure AppService到AppService调用的托管身份
- 如何从Azure Active Directory(AAD)Web API检索access_token
- 如何为Azure AppService配置access_token以允许访问两个通过Azure Active Directory保护的FunctionApp?
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?