我使用 Azure AD B2C 创建了一个登录模块。 B2C 租户拥有自定义登录页面和自定义域。
我还创建了一个 Azure Blob 存储容器,用于托管我网站的 HTML 文件。
我有一个要求,只有登录的用户才能访问 HTML 文件,其他任何人都不能访问这些文件。
谁能帮助我了解如何向已登录的用户提供对 html 文件的访问权限?
[我知道 StackOverflow 上已经回答了类似的问题。答案中提到在 Azure Active Directory 上创建外部用户并通过 Active Directory 为用户提供访问权限。此方法的唯一问题是自定义域不能用于 Active Directory 的登录页面。我想将此问题添加到现有查询的评论中,但由于声誉低,我无法对该问题添加评论]
【问题讨论】:
标签: azure azure-blob-storage azure-ad-b2c azure-rbac sas-token
• 您可以为使用 Azure AD 凭据登录的所有用户分配“读取者”角色,以读取和访问 Blob 存储的内容。此外,如果您已通过共享密钥授权启用对 blob 存储帐户密钥的访问,则在配置期间必须允许存储帐户的共享密钥访问。
• 此外,您可以将“读取者和数据访问”角色分配给将访问登录页面和访问 Blob 存储内容的所有用户,因为他们将能够查看存储帐户资源,但不能修改它们。它不提供对 Azure 存储中数据的读取权限,而仅提供对帐户管理资源的读取权限。 Reader 角色是必需的,这样用户才能导航到 Azure 门户中的 blob 容器。
• 因此,如果您希望用户对 blob 存储的访问级别越来越高,您可以分别按升序分配“存储帐户参与者”、“ARM 参与者角色”和“ARM 所有者角色”。此外,如果您希望外部用户在有限的时间段内或以持续监控的方式访问 Blob 存储内容,您可以相应地共享 SAS URI 或访问密钥。此外,根据要求分配角色后,您还可以生成 SAS URI 访问令牌以提高安全性。
更多信息请参考以下链接:-
https://docs.microsoft.com/en-us/azure/storage/common/shared-key-authorization-prevent?tabs=portal
https://docs.microsoft.com/en-us/azure/storage/blobs/authorize-data-operations-portal
【讨论】: