我有 asp.net core 托管在 Azure Kubernetes Service 中的 web api 应用程序,并且 web api 端点使用 Azure Active Directory (AAD) 进行保护。按照下面的文章,
https://dotnetplaybook.com/secure-a-net-core-api-using-bearer-authentication/
现在我有另一个作为 Azure App Service 托管的 asp.net 核心 Web api 应用程序(网关),这是托管在 AKS 中的上述微服务的客户端应用程序。
我也在 AAD 中注册了客户端应用程序 (Gateway),并使用 secret 并使用此网关和微服务进行身份验证和工作。
由于 AKS 托管微服务与 Azure App 服务对话,我可以使用 Managed Identity 以便我不需要进行 secret 管理吗?
答案 0 :(得分:1)
所以澄清一下,您在 Azure 应用服务中部署的服务正在调用您在 AKS 中部署的应用程序。
如果您的 Azure 应用服务代表自己行事(即:它是一个守护程序应用程序,并且用户不与该应用程序交互),那么是的,您可以简单地为该应用程序服务使用托管标识并提供该标识AKS 中应用的 API 权限。
--以上内容的更新
我写了一些额外的细节,介绍了实现这一目标的所有步骤,看看这篇文章:https://blog.identitydigest.com/single-tenant-daemon-managed-identity/。它还有一个指向非常基本的代码示例的指针。