Azure REST API 安全性

Question

我正在搜索 API 管理服务中特定 API 的 AAD 用户明智角色/策略等功能。

AWS 提供基于规则的访问控制。例如，我们可以使用角色/策略将特定的 api(API 网关)访问权限分配给特定的 IAM 用户。

Azure 提供这样的服务吗？例如，我在 Azure API 管理服务中添加了 20 个 api(5 GET + 5 POST + 5 PUT + 5 DELETE)。我可以为特定用户分配特定方法(例如 GET)api 访问权限吗？

Answer 1

实现此目的的一个选项(无需代码，只需配置)是使用 Azure Active Directory (AAD) 应用程序角色。

首先，您需要创建一个代表您的 Web API 的 AAD 应用程序。转到 AAD > 应用程序注册并在那里注册 Web 应用程序/Web API。然后编辑其 list 以添加角色，即:

  "appRoles": [
    {
      "allowedMemberTypes": [
        "Application",
        "User"
      ],
      "displayName": "Allow HTTP GET",
      "id": "9cc5ee71-3d7d-4060-8b7f-e734f3917e71",
      "isEnabled": true,
      "description": "Allow HTTP GET requests",
      "value": "AllowGET"
    }
  ],

您可以为 API 具有的不同方法添加不同的角色。

然后转到 AAD > 企业应用程序，找到您刚刚创建的应用程序，然后:

• 在属性中，选择“需要用户分配”> 是
• 在用户和组中，添加您想要允许访问之前创建的角色的用户(“允许 HTTP Get”)。

现在转到 API 管理服务 > API > 找到您的 API/方法 并编辑入站处理。在代码 View 下，添加 ValidateJWT验证 AAD token 的策略(确保配置您的 AAD 租户名称并配置受众 GUID，即您的 Web API 的应用程序 ID(您一开始在 AAD 中注册的应用程序 ID):

<validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized. Access token is missing or invalid.">
    <openid-config url="https://login.microsoftonline.com/TENANT.onmicrosoft.com/.well-known/openid-configuration" />
    <audiences>
        <audience>53a81160-e4c9-40ba-aeef-6bb99ad6b4b3</audience>
    </audiences>
    <required-claims>
        <claim name="roles" match="all">
            <value>AllowGET</value>
        </claim>
    </required-claims>
</validate-jwt>

请注意，required-claims 下是您之前在应用程序 list 中配置的角色声明 (AllowGET)。

现在您可以测试了。如果您想通过 APIM 开发者控制台进行测试，您应该按照此处的说明 Protect an API by using OAuth 2.0 with Azure Active Directory and API Management 进行操作。 .

或者您也可以仅使用如下所示的简单 PowerShell 脚本进行测试。如果您使用此脚本，首先需要注册另一个 AAD 应用程序，这次代表该脚本(“ native 客户端”)。转到 AAD > 应用程序注册并注册 native 客户端。在“设置”>“权限”下，添加委派权限，以便此应用程序可以调用 Web API:

PowerShell 脚本:(检查代码并确保替换 API 的参数和 URL，并添加 ADAL 库“Microsoft.IdentityModel.Clients.ActiveDirectory.dll”的路径，该库用于简化代币获取)

add-type -path "Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
$clientId = "NATIVE APPLICATION AAD AAP ID"
$redirectUri = "http://NATIVE APPLICATION AAD REDIRECT URI"
$resourceAppIdURI = "WEB API APP ID"
$authority = "https://login.windows.net/TENANT.onmicrosoft.com"
$authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority,$false
$promptBehavior=new-object Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters([Microsoft.IdentityModel.Clients.ActiveDirectory.PromptBehavior]::Always)
$userId = [Microsoft.IdentityModel.Clients.ActiveDirectory.UserIdentifier]::AnyUser
$authResult = $authContext.AcquireTokenAsync($resourceAppIdURI, $clientId, $redirectUri, $promptBehavior, $userId, $extraQueryParameters)
$authHeader = @{
'Accept'='application/json'
'Content-Type'='application/json'
'Authorization'=$authResult.result.CreateAuthorizationHeader()
'Ocp-Apim-Subscription-Key'='APIM SUBSCRIPTION KEY'
'Ocp-Apim-Trace'='true'
}
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Invoke-RestMethod -Uri "https://yourapimanager.azure-api.net/posts" -Headers $authHeader -Method Get -Verbose