我有一个 Azure 函数,用于从 Azure AD 获取数据,但我想限制谁可以使用该函数,因为它将使用 HTTP 触发器,以便稍后我可以从逻辑应用程序调用该函数在路上。因此,由于 HTTP 触发的 Azure Functions 具有公共终结点,我想通过将授权级别设置为 Function 来提高安全性,或者更可取的是使用 Azure AD 服务主体(预先创建)。进行此更改后,我可以通过将函数放入 URL 来进行调用。
基本网址:
https://something.com/api/function_name
带有令牌的 URL:
https://something.com/api/function_name?code=token_here
但是,我的函数需要给出一些输入。在匿名端点上,您可以像这样扩展基本 URL:
https://something.com/api/function_name/?parameter=value
其中参数是代码所期望的,以及传递给代码中变量的值。现在我是这个 HTTP 端点的新手,并通过 URL 传递值。我知道这会以 JSON 的形式传入(可能)
但是我不明白如何同时进行功能授权以及传入参数。我试过了:
https://something.com/api/function_name/?parameter=value?code=token_here
https://something.com/api/function_name?code=token_here/?parameter=value
有谁知道这应该如何工作?
另一方面,我还可以将 设置Platform Features -> Authentication / Authorization为 Azure AD 服务主体。但是,如何更改 URL 以使用该服务主体的client_idand进行身份验证?client_secret我实际上更喜欢使用这种方法,因为这样我就可以对令牌实施生命周期管理并对其进行轮换以使其更加安全。
我看过这里: Azure function with Azure AD authentication access using JavaScript
我在 stackoverflow 上找到的大多数其他主题甚至都没有接近。
PS:这个PS不需要答案,但我会很感激任何想法。我正在制作的这个东西是一个工作流,它结合了一个(计划的)逻辑应用程序,它触发了一个Get-Function. 将在哪里Get-Function需要以某种方式触发Update-Function. 而且我正在Get-Function触发 HTTP,以便我还能够将其作为 API 提供,以使该功能可用于自动化。(允许在不需要 Azure AD 权限的人的情况下通过 API 调用轮换机密)更新功能将需要轮换(特定)应用程序/服务主体上的机密。Azure Function 基于 v2 并使用 Powershell Core 作为语言。
