我有一个应用程序,我计划使用托管标识检索令牌以针对 API 进行身份验证。托管标识将被赋予适当的 appRoleAssignment 到底层 API 服务主体角色,我已将其配置为“应用程序”角色类型。为了在我的机器上调试这个应用程序,我需要做什么?我是否必须为我的 Azure 帐户(我在 Visual Studio 中登录的帐户)提供与此角色相同的 appRoleAssignment?如果是这样,这是否意味着我必须将角色设置为“用户”和“应用程序”的 allowedMembershipType?这是一个坏主意吗?修改我的角色似乎不合适,以便我可以在本地进行调试。这里推荐的方法是什么?
1 回答
1
需要相同的应用角色,这是毫无疑问的。如果你是使用登录VS的用户账号进行认证,当然需要allowedMemberTypes用Userand来设置Application。
这不是一个坏主意,随意使用它,但如果想避免这种情况,您也可以向 Azure AD 注册应用程序并创建服务主体并创建秘密,使用它进行身份验证,我更喜欢这种方式。一点是不需要更改allowedMemberTypes,另外一点是MSI(托管标识)也是一个服务主体,这更类似于生产环境。
于 2021-02-01T01:37:42.203 回答