我正在实现一个微软团队的传入webhook,我担心一些坏人获得webhook链接并发送垃圾邮件,从团队获取消息等等。所以我想知道这个功能有多安全?我能做些什么来提高webhook的安全性吗?
您可以使用Azure逻辑应用程序将Microsoft Teams传入Webhook安全性提升到一个新的水平:
它提供了以下安全级别:
-
更好地控制谁可以创建和使用webhook:您可以依赖Azure RBAC内置角色为Azure逻辑应用程序来定义您的访问策略。webhook的配置是在Azure中完成的,没有配置信息可从Microsoft Teams获得。
-
验证事件发射器的更多选项:有不同的方法来验证发射器,Azure逻辑应用程序提供了广泛的选择——这些方法是SAS签名的补充,也可以替代它。在传入的webhook上下文中,我们有:
-
源IP白名单
-
基本认证/Http头访问密钥
-
Azure AD OAuth2.0令牌
- 保护用户不受发布到Teams中的内容:使用Azure Logic App,你可以捕获所有对webhook的请求,因为你可以控制端点(相对于通过O365平台托管和公开的传入webhook) -当工作流被触发时,你可以向工作流添加操作步骤:
- 验证有效负载的模式(如果JSON不合适)内容被推送)
- 将此请求记录到外部系统-例如。您可以将此有效负载或将此事件记录到Azure Monitor和使用内置的逻辑应用程序处理Azure Sentinel中的内容连接器。
- Map/aggregate/curate/enrich/....传入的使用自适应卡在团队中推送消息的内容和格式。
参考文档:https://www.linkedin.com/pulse/bring-microsoft-teams-incoming-webhook-security-next-level-kinzelin/?msclkid=58f6ddafd0eb11eca9ccc0356553ed5c