azure - 使用 Azure Active Directory 身份验证在 Linux 上重新启动 Azure 应用服务 Resets/.auth/me/

Question

我使用 Azure 应用服务身份验证/授权来限制对我的 Web 应用的访问，并使用 Azure Active Directory 作为登录方法。

我已将“请求未经身份验证时采取的操作”设置为“使用 Azure Active Directory 登录”。

为了查找有关登录用户的详细信息，我向/.auth/me 端点 ( as instructions from Microsoft docs says ) 发出请求。这工作正常，直到应用程序在 Azure 中重新启动。重启后，/.auth/me/端点返回一个空数组，而不是用户信息。

只有当应用程序服务计划运行 Linux 时，我才能重现该问题。如果我创建 Windows 应用服务计划，即使重新启动后也会填充/.auth/me 端点。

我尝试在 Azure 上创建一个新应用程序，但没有上传任何代码，问题仍然存在。

我是否需要设置一些额外的设置才能使其在基于 Linux 的 ASP 上运行？我已经使用基于 docker 的 ASP 和基于代码的(在 dotnet core 2.2 上)进行了测试。

Answer 1

我得到了 Microsoft on their forums 的答复。正如 @Tony 还发现的那样，这是因为处理 Linux 应用服务上的身份验证的中间件容器重新启动并丢失了其 token 。当您使用 Linux 应用服务时，中间件容器是在 Azure 中的代码旁边/前面运行的第二个容器，它处理所有 Auth 魔法(请参阅 this blog post by Jan Hajek on the middleware container )

Microsoft 目前正在将 token 丢失视为潜在错误，他们建议的解决方法是使用 "Blob storage token store" ，这意味着 Azure 中间件容器会将 token 存储在 Blob 存储中而不是磁盘上，从而使它们保持重新启动。

实现:

1. 在 Azure 中创建 Blob 存储(如果您还没有想要使用的存储)
2. 创建仅具有私有(private)访问权限的 Blob 容器

3. 在存储实例上创建共享访问签名。

   • 授予其访问*:
     • 允许的服务:Blob
     • 允许的资源类型:容器、对象
     • 允许的权限:读取、写入、列出、创建
   • 设置 SAS 的开始/结束日期
   • 生成 SAS 并复制“Blob 服务 SAS URL”

   • 修改 SAS URL 以包含您的 Blob 容器名称。例如，如果您在步骤 2 中创建的容器名为“tokens”，请修改您的 SAS URL:

     https://xxxxx.blob.core.windows.net/?sv=2018-03-28... 至

     https://xxxxx.blob.core.windows.net/tokens/?sv=2018-03-28...

4. 转到您的网络应用并添加新的应用程序设置。将其命名为 WEBSITE_AUTH_TOKEN_CONTAINER_SASURL 并为其指定修改后的 SAS URL 的值
5. 转到您的网站并登录。现在应该在 Blob 存储中创建一个 token ，并且在重新启动后也将使用该 token 。
6. 如果它不能立即工作，请尝试在 Azure 中停止/启动 Web 应用程序。请参阅上面的博客文章了解更多调试技巧。

(*) 上面链接的博客文章指出 SAS 所需的权限较少，但我发现我还必须添加对象访问权限。