Azure - 安全API应用程序，因此只能由Logic Apps和Web Apps访问

Question

我有一个API应用程序我已部署到Azure但希望它是安全的，因此它只适用于同一资源组中的Logic Apps和Web Apps。

通过Swashbuckle添加的Swagger接口有一个api_key参数我假设我可以利用某种方式。

有关如何以与Azure应用程序兼容的方式实现此安全性的任何建议？

Azure AD

我怀疑我应该能够使用Azure AD实现这一目标吗？

我在身份验证/授权下的API应用程序中创建了一个Azure AD应用程序，我启用了Azure Active Directory（Express）并选择了我刚刚创建的Azure AD应用程序。

现在，当我尝试从Logic App访问API App时，出现以下错误：

无法获取招摇。 确保在端点上启用了CORS并且正在调用HTTPS端点。

（在启用Azure Active Directory之前，我不会收到此错误，我会看到我的端点列表。）

我的下一个想法是编辑Azure AD应用程序的清单文件。 我在清单中发现了这一点

"knownClientApplications": []

所以我尝试添加我的Logic App应用程序名称

"knownClientApplications": [ "my-logic-app-name" ]

但这被拒绝了，因为它需要一个guid而不是一个字符串。 不幸的是，我似乎找不到我的Logic App的guid id。

Answer 1

我找到了有关如何实现此目的的Azure文档：

https://azure.microsoft.com/en-us/documentation/articles/app-service-logic-custom-hosted-api/

涉及的一点过程包括直接编辑Logic App json代码以添加认证元素，例如

{
    ...
    "actions": {
        "SomeAction": {
            "conditions": [],
            "inputs": {
                "method": "post",
                "uri": "https://your-api.azurewebsites.net/api/YourMethod",
                "authentication": {
                    "tenant": "the-guid-for-your-tenant",
                    "audience": "the-guid-for-apiapp-azure-ad-application",
                    "clientId": "the-guid-for-logicapp-azure-ad-application",
                    "secret": "the-secret-for-logicapp-azure-ad-application",
                    "type": "ActiveDirectoryOAuth"
                }
            },
            ...

我遇到的下一个问题是长时间运行的API调用导致Logic App失败。 幸运的是，我发现Jeff Hollan撰写的这篇内容丰富的博客文章解释了如何解决这个问题：

https://blogs.msdn.microsoft.com/logicapps/2016/02/15/long-running-tasks-in-logic-apps/

以及我根据我的要求调整的支持代码示例：

https://github.com/jeffhollan/LogicAppsAsyncResponseSample