授权用户进行 azure blob 访问

【问题标题】:Authorize a user for azure blob access授权用户进行 azure blob 访问
【发布时间】:2020-04-25 23:58:30
【问题描述】:

我正在通过 adal-node 库使用 microsoft login 对用户进行身份验证。

adal-node 有一个 AuthenticationContext,我们可以从中获取 JWT 令牌 使用 acquireTokenWithAuthorizationCode

因此,我的 Active Directory 应用程序的用户现在可以使用他们的 Microsoft 帐户成功登录。

现在,问题是如何使用上面收到的 JWT 令牌 获取特定 storageaccount/container/blob 的 RBAC 角色?这可能吗?

或者我应该为此目的使用 azure-arm-authorization 之类的库吗?我已经为每个 storageaccount/container/blob 设置了 RBAC 角色,但是我没有找到任何关于如何为我的应用程序的每个登录用户获取这些角色的在线文档。

任何帮助都是无价的。

TL;DR如何授权 azure blob?

【问题讨论】:

  • 数据绝对可以通过 Azure 资源管理 API 获得。我在 ARM 模板中使用了类似的东西:type": "Microsoft.Storage/storageAccounts/blobServices/containers/providers/roleAssignments", "apiVersion": "2018-01-01-preview", "name": "[concat(parameters('storageAccountName'), '/default/', parameters('storageContainerName'), '/Microsoft.Authorization/', guid(resourceGroup().id, 'webAppFilesAccess'))]"

标签: azure azure-active-directory azure-storage azure-blob-storage azure-resource-manager


【解决方案1】:

根据我的研究,如果我们想使用 Azure AD 身份验证来访问 Azure blob 存储,我们需要为 Azure 存储帐户或容器分配 Azure RABC 角色。更多详情请参考here。此外,我们可以使用 Azure CLI 来分配角色和获取角色分配。

例如

# assign role
az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"


# list role assignment of the resource
az role assignment list --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"

更多信息,请阅读article

更新1

如果要使用nodejs sdk获取角色分配,请参考以下代码

const authorizationManagement = require('azure-arm-authorization');
const msrestAzure = require('ms-rest-azure');

const scope = '/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>';
const subscriptionId = 'e5b0fcfa-e859-43f3-8d84-5e5fe29f4c68';

msrestAzure.interactiveLogin().then(credentials => {
 const client = new authorizationManagement(credentials, subscriptionId);
 client.roleAssignments.listForScope(scope).then(result => {
    result.forEach(element => { 
       
        client.roleDefinitions.getById(element.roleDefinitionId).then(result => {
             console.log("principal ID: "+ element.principalId+"\nrole name: "+result.roleName)
        });
      }); 
 });
})

更多详情请参考Get access control list (IAM) of a resource group in Node.js

更新2

根据我的测试,如果你想使用azure-arm-authorizationadal-node。请参考以下代码

const authorizationManagement = require('azure-arm-authorization');
const TokenCredentials = require('ms-rest').TokenCredentials
const adal = require('adal-node').AuthenticationContext;
const scope = '/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>';
const subscriptionId = 'e5b0fcfa-e859-43f3-8d84-5e5fe29f4c68';

// use service principal to get access token with adal-node
/*
  If you do not have a  service principal, you can use the following Azure CLI command(https://docs.microsoft.com/en-us/cli/azure/ad/sp?view=azure-cli-latest#az-ad-sp-create-for-rbac) to create it 
    az ad sp create-for-rbac -n "MyApp" --role contributor 
    

*/ 
const tenant = 'your-tenant-id';
const authorityUrl = "https://login.microsoftonline.com/" + tenant;
const clientId = 'your-client-id';
const clientSecret = 'your-client-secret';
const resource = 'https://management.azure.com/';
const context = new adal(authorityUrl);
context.acquireTokenWithClientCredentials(
     resource,
     clientId,
     clientSecret,
     (err, tokenResponse) => {
          if (err) {
               console.log(`Token generation failed due to ${err}`);
          } else {

               const credentials = new TokenCredentials(tokenResponse.accessToken);

               const client = new authorizationManagement(credentials, subscriptionId);
               client.roleAssignments.listForScope(scope).then(result => {
                    result.forEach(element => {

                         client.roleDefinitions.getById(element.roleDefinitionId).then(result => {
                              console.log("principal ID: " + element.principalId + "\nrole name: " + result.roleName)
                         });
                    });
               });
          }
     }
);

如果您想知道如何使用 passport-azure-ad 获取角色分配,您可以使用 passport-azure-ad 获取 AD 访问令牌,然后调用 Azure rest API。关于如何实现,可以参考sample

【讨论】:

  • 感谢您的回答,但它确实有助于解决我的问题。我需要使用 arm nodejs API 以某种方式做到这一点。
  • @sp497 抱歉耽搁了。关于这个问题,请参考我的更新。
  • @sp497 您还有其他顾虑吗?
  • 我没有将此问题标记为已接受,因为我没有将 msrestAzure.interactiveLogin() 用于我的目的。正如我在问题中所述,我使用 adal-node 进行授权,这是一个完全不同的工作流程。
  • @sp497 是的,你可以这样做
猜你喜欢
  • 2019-07-01
  • 1970-01-01
  • 2021-08-26
  • 2016-02-24
  • 1970-01-01
  • 2021-05-02
  • 2021-06-16
  • 1970-01-01
  • 2021-12-15
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode