Управляемые удостоверения для Azure AppService для вызова AppService

Question

Я изучаю возможность внедрения управляемых удостоверений для REST API, размещенного в службе приложений Azure. Этот Api использует несколько сторонних API, которые находятся вне нашего контроля и защищены AAD.

В настоящее время мы храним AAD ApplicationId / Secret в конфигурации. Всякий раз, когда нам нужно использовать какой-либо сторонний API, мы следуем приведенному ниже процессу -

1. Используйте ApplicationId & Secret для генерации токена
2. Вызвать сторонний API с токеном в заголовке
3. Во время вызова clientId в токене проверяется на авторизацию

Можно ли использовать управляемые удостоверения в этом сценарии? Требует ли это изменения кода для любого из этих API? Могу ли я получить доступ к ClientIds, которые я могу использовать для сторонних API для авторизации?

Answer 1

AFAIK, возможно, вы не сможете сделать это через MSI, MSI используется, чтобы позволить сервису приложения / функции приложения получить доступ к другим ресурсам Azure. Если вы включите MSI веб-приложения, оно просто автоматически создаст субъект службы без приложения AD.

Есть ли способ узнать ClientId SPN, которым управляет управляемая идентификация?

Возможно, перейдите к Корпоративным приложениям в Azure Active Directory-> Поиск по имени вашего веб-приложения (необходимо указать фильтр Application Type с помощью All Applications) -> в Properties, вы можете найти Application ID, он также называется ClientID, который вы хотите.

Но даже если вы сможете его найти, вы не сможете сгенерировать секрет принципала службы. Я думаю, что вы могли бы сделать это только с приложением AD (регистрация приложения).