Ограничить доступ к приложению Azure (WebApi) только к другому приложению Azure (клиент-демон)

Question

Я зарегистрировал свой проект REST Api в AzureAD, чтобы я мог использовать аутентификацию AzureAD. Позволяет назвать это приложение " RestApi ".

Я также зарегистрировал другое консольное приложение, которое получит доступ к этому API. Давайте назовем это « ConsoleClient ».

Как я могу ограничить доступ, чтобы только ConsoleClient мог получить доступ RestApi ? Я могу установить аналогичные разрешения для пользователей (корпоративные приложения -> Пользователи и группы), но не для другого приложения Azure AD.

Answer 1

Вы должны определить разрешения приложения в вашем API.Моя статья в блоге содержит подробную информацию о том, как это сделать: https://joonasw.net/view/defining-permissions-and-roles-in-aad

Кроме того, вы должны проверить в API, что любой токен доступа имеет действительные разрешения.Таким образом, вы должны проверить утверждение ролей в случае разрешений приложения.