在 Azure 解决方案中提供 App 服务安全性

Question

我有一个点击一次 Windows 应用程序，它已经内置了身份验证 n 授权。早些时候我曾经将它部署在物理服务器上 n 与用户共享位置，以便他们可以安装它 n 使用它。但现在我们决定将其部署在 azure PAAS 服务（App 服务）上。但目前 url 正在被我想要限制的任何人访问。目前我的组织 AD 未与 Azure AD 同步。因此无法使用 Azure AD 进行身份验证。 除了基于IP限制用户之外，请提供一些更好的解决方案。

Answer 1

如果是文件下载，您可以将其放在 Azure Blob 存储中进行下载并生成短时 SAS 令牌。

Answer 2

虽然 IP 地址限制和 Azure AD 身份验证将是您的方案的一种有效方法。由于您不想走那条路（由于环境限制），如果您希望可以使用指定的提供商（Microsoft 帐户、Facebook、Google、Twitter 或任何 OpenID Connect 提供商）对用户进行身份验证。应用服务提供内置的身份验证和授权支持，因此您可以通过编写最少或不编写代码来登录用户并访问数据。

应用服务使用联合身份，其中第三方身份提供者为您管理用户身份和身份验证流程。您还可以使用多个登录提供程序。

所以简单的过程可能是：

选项是使用 登录。应用服务将所有匿名请求重定向到您选择的提供商的 /.auth/login/provider>。如果匿名请求来自原生移动应用，则返回的响应是 HTTP 401 Unauthorized。

请查看有关流程/工作流程的分步说明： Configure your App Service or Azure Functions app to use Microsoft Account login

如果您的 WebApp 在 VNet 上，您可以通过访问限制为 Microsoft.Web 启用 service endpoints。

见-Advanced usage of authentication and authorization in Azure App Service