使用Azure AD保护Azure应用服务(REST API)

时间:2020-03-06 18:23:32

标签: azure oauth-2.0 azure-active-directory

我对保护Azure应用服务(REST API)有一个简单的要求,即-没有对API的匿名访问,只有选定的客户端(应用程序注册客户端ID)可以使用基于令牌的身份验证/授权来访问API。

我已完成以下操作-

  1. 为服务(REST API)创建应用注册。
  2. 为上述应用注册创建默认范围 (api://svcguid/.default)
  3. 为以下应用创建应用注册 客户。
  4. 在服务应用程序注册页面>“公开API”页面>授权的客户端应用程序部分中添加客户端。
  5. 在API和客户端代码/配置中关联应用程序注册

上述方法的问题在于,未添加到第4点的“授权客户端应用程序”部分的任何新客户端(在同一AD租户中)也都可以访问API。 我在这里想念什么?

1 个答案:

答案 0 :(得分:0)

我相信这是受管理员操作控制的,以授予客户端对Azure门户中API范围的访问权限,就像我撰写本文的step 6一样。

API在验证访问令牌时还可以显式检查此范围。

相关问题
最新问题