我希望创建访问Cosmos DB容器和密钥保管库作用域的Azure函数。函数调用需要Active Directory登录,并且用户通过组被授予对资源的访问权限。应根据登录用户的权限或组成员身份访问或拒绝Azure资源。Azure功能如何代表经过身份验证的调用方访问其他Azure资源?
mlnl4t2r1#
不幸的是,这非常复杂,您需要有一个新的OAuth2访问令牌,其作用域为cosmsdb资源,以便能够访问它。请检查OAuth2代表流:https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow2年前我使用它的时候,这个流没有SDK支持,我只是简单地对https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token使用http请求在您的情况下,您还必须将https://cosmos.azure.com/user_impersonation委托API权限添加到应用注册中,用户在尝试访问您的API时将被要求同意。
1条答案
按热度按时间mlnl4t2r1#
不幸的是,这非常复杂,您需要有一个新的OAuth2访问令牌,其作用域为cosmsdb资源,以便能够访问它。
请检查OAuth2代表流:https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow
2年前我使用它的时候,这个流没有SDK支持,我只是简单地对https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token使用http请求
在您的情况下,您还必须将https://cosmos.azure.com/user_impersonation委托API权限添加到应用注册中,用户在尝试访问您的API时将被要求同意。