将 Azure 托管标识用于未授权新 SDK 的应用服务
[英]Using Azure managed identity for App Service not authorising for new SDK
问题描述
我们已经成功使用Microsoft.Azure.KeyVault一段时间了。 使用我们的 WebApps 和 AD 组中的托管标识来授予对密钥保管库的访问权限。
我已经更新了几个应用程序以使用Azure.Identity package 和 .Net Framework 应用程序继续运行,但 .Net Core 3.1 应用程序现在似乎没有获取凭据。
如果我添加与 RBAC 生成的服务原则相对应的显式AZURE_CLIENT_ID 、 AZURE_CLIENT_SECRET和AZURE_TENENT_ID ,则一切正常。 不过,我不想这样做,并且更喜欢使用托管标识(没有浮动配置)。
这些是我现在引用的包:
<PackageReference Include="Azure.Identity" Version="1.1.1" />
<PackageReference Include="Azure.Security.KeyVault.Secrets" Version="4.0.3" />
这是构造代码:
new SecretClient("name-of-vault", new DefaultAzureCredential());
所以没什么花哨的。
这是堆栈跟踪:
---> Azure.Identity.AuthenticationFailedException:DefaultAzureCredential 身份验证失败。 ---> Azure.Identity.AuthenticationFailedException:无效响应,身份验证响应不是预期的格式。 at Azure.Identity.ManagedIdentityClient.Deserialize(JsonElement json) at Azure.Identity.ManagedIdentityClient.DeserializeAsync(Stream content, CancellationToken cancellationToken) at Azure.Identity.ManagedIdentityClient.AuthenticateAsync(String[] scopes, CancellationToken cancellationToken) at Azure.Identity.ManagedIdentityCredential .GetTokenImplAsync(TokenRequestContext requestContext, CancellationToken cancellationToken) --- End of inner exception stack trace --- at Azure.Identity.DefaultAzureCredential.GetTokenAsync(Boolean isAsync, TokenRequestContext requestContext, CancellationToken cancellationToken) at Azure.Identity.DefaultAzureCredential.GetTokenAsync(TokenRequestContext requestContext , CancellationToken cancelToken) 在 Azure.Security.KeyVault.ChallengeBasedAuthenticatio nPolicy.AuthenticateRequestAsync(HttpMessage message, Boolean async, AuthenticationChallenge challenge) at Azure.Security.KeyVault.ChallengeBasedAuthenticationPolicy.ProcessCoreAsync(HttpMessage message, ReadOnlyMemory1 pipeline, Boolean async) at Azure.Core.Pipeline.RetryPolicy.ProcessAsync(HttpMessage message, ReadOnlyMemory1 pipeline, Boolean async) at Azure.Core.Pipeline.RetryPolicy.ProcessAsync(HttpMessage message, ReadOnlyMemory1 pipeline, Boolean async) at Azure.Core.Pipeline.HttpPipelineSynchronousPolicy.ProcessAsync(HttpMessage message, ReadOnlyMemory1 pipeline) at Azure.Core.Pipeline.HttpPipelineSynchronousPolicy.ProcessAsync (HttpMessage 消息,ReadOnlyMemory1 管道)在 Azure.Core.Pipeline.Http Pipeline.SendRequestAsync(Request request, CancellationToken cancellationToken) at Azure.Security.KeyVault.KeyVaultPipeline.SendRequestAsync(Request request, CancellationToken cancellationToken) at Azure.Security.KeyVault.KeyVaultPipeline.SendRequestAsync[TResult](RequestMethod method, Func1 resultFactory, CancellationToken cancellationToken,字符串 [] 路径)在 Codat.Infrastructure.SecretsProvider.SecretsProvider.<>c__DisplayClass18_0.d.MoveNext() 的 Azure.Security.KeyVault.Secrets.SecretClient.GetSecretAsync(字符串名称,字符串版本,CancellationToken cancelToken)
3 个解决方案
解决方案1
1 已采纳 2020-06-22 12:05:51
似乎应用服务实例中的 MSI 服务返回了无效的DateTimeOffset格式。
要求:
$response = Invoke-WebRequest -Uri 'http://127.0.0.1:41601/MSI/token/?api-version=2017-09-01&resource=https://vault.azure.net' -Method GET -Headers @{Metadata="true";Secret="REDACTED"} -UseBasicParsing
回复:
StatusCode : 200
StatusDescription : OK
Content : {123, 34, 97, 99...}
RawContent : HTTP/1.1 200 OK
Content-Length: 1698
Date: Mon, 22 Jun 2020 09:26:44 GMT
{"access_token":"REDACTED...
Headers : {[Content-Length, 1698], [Date, Mon, 22 Jun 2020 09:26:44
GMT]}
RawContentLength : 1698
{
"access_token": "REDACTED",
"expires_on": "6/23/2020 9:28:43 AM +00:00",
"resource": "https://vault.azure.net",
"token_type": "Bearer",
"client_id": "E7B39A52-REDACTED"
}
ManagedIdentityClient无法解析格式"M/d/yyyy H:m:s tt K" 。 因此,该错误似乎在底层 azure 服务中。 我向https://github.com/Azure/azure-sdk-for-net/issues/12869团队提出了一个问题,它已在 1.2.0-preview-4 中修复。
解决方案2
0 2020-06-18 14:05:50
不应该是这样吗?
var sc = new SecretClient(new Uri("https://<YOUR-KEY-VAULT>.vault.azure.net/"), new DefaultAzureCredential());
Secret1 = sc.GetSecret(nameof("name-of-vault")).Value;
解决方案3
0 2020-06-19 08:45:24
尝试直接使用ManagedIdentityCredential :
new SecretClient(new Uri(kvUri), new ManagedIdentityCredential());
在Azure函数中使用Azure Fluent SDK时,如何使用托管服务标识创建azure对象?
[英]When using the Azure Fluent SDK in an Azure Function how can I create an azure object using a Managed Service Identity?
如何使用 Service Principal/Managed Identity 访问 Azure App Configuration?
[英]How to use Service Principal/Managed Identity to access Azure App Configuration?
具有用户分配的托管标识的 Azure 应用服务使应用程序崩溃
[英]Azure App Service with User-Assigned Managed Identity crashes application
用户 ' 登录失败<token-identified principal> '。 使用 Azure Function 应用程序和 Azure Z9778840A010410BA982 服务时,令牌已过期。</token-identified>
[英]Login failed for user '<token-identified principal>'. Token is expired when using Azure Function app and Azure SQL Service using Managed Identity
从 Azure 应用服务连接到 Azure Sql 数据库适用于系统分配但不是用户分配的托管标识
[英]Connecting from Azure App Service to Azure Sql Database works for System Assigned but not User Assigned managed identity
我在使用托管服务标识对使用 AAD 保护的 Azure 应用服务进行身份验证时遇到问题
[英]I'm having problems authenticating with Managed Service Identity to an Azure App Service secured with AAD
允许应用服务仅由测试用户和使用系统分配的托管标识的另一个应用服务调用
[英]Allow App Service to be called by just a test user and another App Service using a system assigned managed identity
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
使用托管标识从 Azure 应用服务调用图
对部署到 Azure 的应用程序使用 Azure 托管标识?
在Azure函数中使用Azure Fluent SDK时,如何使用托管服务标识创建azure对象?
如何使用 Service Principal/Managed Identity 访问 Azure App Configuration?
从 Azure Web 应用托管服务标识创建资源组
具有用户分配的托管标识的 Azure 应用服务使应用程序崩溃
用户 ' 登录失败<token-identified principal> '。 使用 Azure Function 应用程序和 Azure Z9778840A010410BA982 服务时,令牌已过期。</token-identified>
从 Azure 应用服务连接到 Azure Sql 数据库适用于系统分配但不是用户分配的托管标识
我在使用托管服务标识对使用 AAD 保护的 Azure 应用服务进行身份验证时遇到问题
允许应用服务仅由测试用户和使用系统分配的托管标识的另一个应用服务调用
相关标签