使用 Azure 托管标识进行服务到服务调用

Question

现在我正在使用 AAD 应用程序进行服务 A => 服务 B 调用。这包括：

1. AAD 应用程序
2. 为 AAD 应用程序保留秘密/证书的 KeyVault
3. 可访问 KeyVault 的托管身份

流程如下所示：

1. 服务 A：从托管身份获取令牌
2. 服务 A：转到 KeyVault，出示令牌并获取 AAD 应用程序的机密
3. 服务 A：转到 AAD，提供秘密并为特定资源请求令牌
4. 服务 A：调用服务 B
5. 服务 B：验证令牌和资源

我想知道是否可以向我的服务注册托管身份，因此如果提供托管身份令牌，则服务 B 可以信任服务 A。如下所示：

1. 服务 A：从托管身份获取令牌
2. 服务 A：调用服务 B
3. 服务 B：验证令牌来自已注册的托管身份

可行吗？它是否违反任何安全最佳实践？

更新：除了下面的答案，下面的堆栈溢出帖子描述了如何在一个租户中创建托管身份以获取另一个租户中应用程序的角色声明

Grant service principal access to application in other tenant

Answer 1

我已经写了一篇关于这个主题的博客文章：https://joonasw.net/view/calling-your-apis-with-aad-msi-using-app-permissions。

你绝对可以做到， 这意味着您不需要使用任何秘密来从服务 A 调用服务 B :)

不过，您需要使用 PowerShell / Graph API 将应用程序权限分配给托管身份服务主体。 没有用户界面。 PowerShell 命令示例：

New-AzureADServiceAppRoleAssignment -ObjectId 1606ffaf-7293-4c5b-b971-41ae9122bcfb -Id 32028ccd-3212-4f39-3212-beabd6787d81 -PrincipalId 1606ffaf-7293-4c5b-b971-41ae9122bcfb -ResourceId c3ccaf5a-47d6-4f11-9925-45ec0d833dec

ObjectId 和 PrincipalId 都是 MSI 生成的服务主体的 ID。 id 是角色的id。 ResourceId 是 API 服务主体的 ID。

这是使用 AzureAD PowerShell 模块。

分配权限后，您的托管身份应该能够为您获取服务 B 的令牌。

但是，您的本地开发环境将需要一种不同的方法，因为那里没有托管身份。 例如，您可以在其中使用客户端密钥来测试对服务 B 的调用。

Answer 2

抱歉，我无法对 juunas 的回复发表评论，因为我没有足够的声誉来发表评论。只是想说，juunas 推荐的解决方案只有在我尝试使用用户分配的托管身份获取令牌的地方重新启动 VM 后才对我有效。重新启动 VM 的想法来自下面的文章。本文还推荐了与 juunas 完全相同的解决方案，但还提到了重新启动 VM 以清除缓存，以防令牌在遵循推荐的步骤后仍然不显示角色。 https://www.jasonfritts.me/2019/07/15/assigning-azure-ad-graph-api-permissions-to-a-managed-service-identity-msi/