我正在开发使用 URL 在内部调用 Azure 函数的打字稿应用程序。 我必须维护此应用程序和 azure 函数的安全性。(由于这是一个基于客户端的应用程序,任何人都可以在浏览器控制台中查看 Azure 函数 URL) 最初,当我们点击应用程序时,它会要求在 Popup 上进行 Sigle 签名身份验证,用户将在其中提供他/她的 AD 凭据。 现在登录后,有时我们会点击按钮,这将调用 Azure 函数。
有什么办法可以将之前用于应用程序登录的相同 SSO 身份验证用于内部使用的 azure 功能吗?
我正在为应用程序和 Azure 函数创建一个通用应用程序注册。 这能解决我的问题吗?
我的要求是 单点登录后,每当调用azure函数时,都应该给出函数输出,不应再次请求凭据。
答案 0 :(得分:0)
理想情况下。从安全的角度来看,这不是正确的方法。你的 Azure 函数需要从客户端应用程序接收令牌,并根据你的身份提供者 (IDP) 对其进行验证,以确保它是有效的令牌并由 IDP 颁发。然后,如果您的 Azure Functions 需要访问 Azure 资源,则应为其授予托管标识,然后授予对该托管标识的访问权限。