代码之家  ›  专栏  ›  技术社区  ›  shsteimer

为Azure服务管理API请求范围有限的Azure Active Directory令牌

rbac azure-active-directory oauth-2.0 azure
  •  1
  • shsteimer  · 技术社区  · 6 年前

    我使用我的应用程序为用户从Azure AD请求OAuth令牌,这样我就可以代表用户使用Azure服务管理API来处理他们的Azure资源。不过,这样做很好, 现在我有了 太大的能量

    我希望将我检索到的令牌的范围限制为特定的能力,这样我就不会意外(或恶意)对我的应用模拟的人的Azure资源做坏事。

    “Microsoft Graph”API有几十个我可以授予的权限:

    但是“Windows Azure服务管理”API只有一个:一切

    如何使此访问更为精细,以保护我的应用程序和用户?现在我有了 功率太大 .

    我想把我检索到的令牌的范围限制在特定的能力范围内,这样我就不会意外(或恶意)地对我的应用模拟的人的Azure资源做坏事。

    “Microsoft Graph”API有几十个我可以授予的权限:

    so many options

    但是“Windows Azure服务管理”API只有一个:一切

    service management api permissions

    如何使此访问更为精细,以保护我的应用程序和用户?

    1 回复  |  直到 6 年前
        1
  •  0
  •   juunas    6 年前

    使用ASMAPI,就我所知,您不能真正限制范围。

    现在,另一方面,Azure资源管理(ARM)API允许非常小的粒度。 您使用ASM API的具体原因是什么?

    通过ARMAPI,您可以注册一个应用程序,然后将应用程序角色赋予订阅/资源组/资源,然后它就可以执行这些操作。 有关ARM功能的更多信息,请参阅文档: https://docs.microsoft.com/en-us/rest/api/resources/

    基于角色的访问控制信息: https://docs.microsoft.com/en-us/azure/role-based-access-control/overview

    推荐文章
    Vincent Doba  ·  azure函数的有效绑定名称是什么?
    2 年前
    theb  ·  无法使用带有ActiveDirectoryServicePrincipal的JDBC连接到Azure DB
    2 年前
    user1610362  ·  Azure ServiceBus JMS库是否支持托管身份?
    2 年前
    mitsui  ·  Azure provider中的AWS lambda层等效于什么?
    3 年前
    Surendar  ·  扩展azure cosmos数据库吞吐量时禁用保存选项
    3 年前
    Ben  ·  无法使用SDK运行AzureML实验-无法为pynacl构建控制盘/退出状态:1
    3 年前
    hmt1517  ·  我们可以使用terraform在关闭状态下部署azure vm吗?
    3 年前
    Dinesh  ·  将带有wsHttpBinding的WCF服务迁移到Azure应用程序服务
    3 年前
    kolek  ·  EWS要求与会者UPNs(主要名称)
    3 年前
    H. Pauwelyn  ·  使用密钥库存储ABP框架的默认连接字符串
    3 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号