3

我正在使用 .NET 的 Microsoft.Azure.Services.AppAuthentication 库 (v1.0.3)使用托管服务标识从 Azure Function 应用程序连接到 blob 存储。授权码:

var tokenProvider = new AzureServiceTokenProvider();
string accessToken = await tokenProvider.GetAccessTokenAsync("https://storage.azure.com/");
var tokenCredential = new TokenCredential(accessToken);
var credentials = new StorageCredentials(tokenCredential);
var storageUri = new Uri($"https://{accountName}.blob.core.windows.net");
var client = new CloudBlobClient(storageUri, credentials);

无论给定 RBAC 角色如何,一个现有存储帐户都拒绝接受 MSI:

Microsoft.WindowsAzure.Storage.StorageException: Server failed to authenticate the request.
Make sure the value of Authorization header is formed correctly including the signature.
   at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.ExecuteAsyncInternal[T](RESTCommand`1 cmd, IRetryPolicy policy, OperationContext operationContext, CancellationToken token)
   at Microsoft.WindowsAzure.Storage.Blob.CloudBlobContainer.CreateIfNotExistsAsync(BlobContainerPublicAccessType accessType, BlobRequestOptions options, OperationContext operationContext, CancellationToken cancellationToken)

storageException.RequestInformation.ExtendedErrorInformation.AdditionalDetails抱怨的其他异常细节AuthenticationErrorDetail: Issuer validation failed. Issuer did not match.

解码失败的 jwt 令牌时,颁发者似乎没问题:

{
  "aud": "https://storage.azure.com/",
  "iss": "https://sts.windows.net/<my directory guid>/",
  ...
}

当我创建新的相同设置的存储帐户时,相同的功能应用程序 MSI 和身份验证代码工作,甚至令牌中的颁发者也完全相同。所以客户端功能应用程序和它的 MSI 身份不是这里的罪魁祸首。

为什么这个存储帐户无法授权以及如何让它接受 MSI?

更新: 交叉张贴到 MS 论坛以引起 MS 的注意,以验证这是否是一个天蓝色的错误。

4

2 回答 2

0

即使在与 MS 核实后,也不清楚是什么原因,但将受影响的订阅移动到另一个 Azure AD 目录似乎已经解决了这个问题。

于 2019-11-05T15:31:49.800 回答
0

我使用您的 Auth 代码进行测试,现有和新创建的存储帐户都接受 MSI。所以我同意 juunas 所说的,这可能是 Azure 存储上的一个错误。

您可以到这里提供您的反馈,让开发人员修复它。

于 2018-12-11T06:16:01.940 回答