想象一下我有:
公开http端点(api1)的Azure函数(函数
我希望以这样的方式配置所有内容,即service1可以向api1pi1知道该请求来自msi1ervice1,以允许或禁止访问 api1基本上,我想在Azure门户中尽可能多地配置哪些应用程序服务可以访问哪些功能(反之亦然),而无需在应用程序设置中创建和管理API令牌或密钥。 我想强调的是,这是服务对服务-service1不会向其用户请求任何登录信息。 我认为这应该是可能的,但我遇到的大多数文档都描述了用户通过微软/脸书/谷歌/Whatever登录并以这种方式获得访问令牌的情况。我知道我可以在应用程序注册上使用客户端凭据来创建有效的承载令牌;但这应该不是必要的,因为service1是在msi1
正如juunas所说,您可以参考他的文章,使用托管身份从应用程序服务中保护azure功能。
在AAD中将您的api1注册为应用程序,并使用powershell为service1 MSI分配权限。门户网站似乎不支持为MSI分配权限,所以你可以使用powershell来分配权限。这里有一个类似的线程,可以为MSI分配许可,你可以参考。