Azure - 调试使用托管标识调用 API 的应用

【问题标题】:Azure - Debugging an app that uses managed identity to call an APIAzure - 调试使用托管标识调用 API 的应用
【发布时间】:2021-01-29 18:27:03
【问题描述】:

我有一个应用程序,我计划使用托管标识检索令牌以针对 API 进行身份验证。托管标识将被赋予适当的 appRoleAssignment 到底层 API 服务主体角色,我已将其配置为“应用程序”角色类型。为了在我的机器上调试这个应用程序,我需要做什么?我是否必须为我的 Azure 帐户(我在 Visual Studio 中登录的帐户)提供与此角色相同的 appRoleAssignment?如果是这样,这是否意味着我必须将角色设置为“用户”和“应用程序”的 allowedMembershipType?这是一个坏主意吗?修改我的角色似乎不合适,以便我可以在本地进行调试。这里推荐的方法是什么?

【问题讨论】:

  • “我是否必须为我的 Azure 帐户(我在 Visual Studio 中登录的帐户)提供与此角色相同的 appRoleAssignment?” -> 是的,你就是这样做的。显然,您的开发系统和产品系统应该具有不同的角色,并且只将您的用户添加到开发系统角色
  • 好的,谢谢。是的,不同的角色,因为我在每个环境中使用不同的服务主体。

标签: azure azure-active-directory azure-managed-identity


【解决方案1】:

需要相同的应用角色,这是毫无疑问的。如果是使用登录VS的用户账号进行认证,当然需要设置allowedMemberTypesUserApplication

这不是一个坏主意,随意使用,但如果想避免这种情况,你也可以Register an application with Azure AD and create a service principalcreate a secret,使用它来进行身份验证,我更喜欢这种方式。一点是不用改allowedMemberTypes,还有一点就是MSI(managed identity)也是一个服务主体,这个更类似于生产环境。

【讨论】:

    猜你喜欢
    • 2020-06-11
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-08-10
    • 2021-10-08
    • 2018-11-22
    • 1970-01-01
    • 2022-06-13
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode