使用 AD 保護 Azure API 管理中的所有 API

Question

是否可以通過以下場景在 Azure 管理 Api 級別使用一個“共享”Azure Active Directory 保護所有 API：

1. 用戶調用指向服務 X 的 Azure API 管理服務
2. 如果請求未通過身份驗證，用戶應提供 Active Directory Creditentials
3. AD Creditentials 在單獨的組件上進行驗證並返回令牌
4. 用戶使用令牌對 Azure API 管理服務進行身份驗證
5. 如果用戶通過身份驗證 API 管理服務使用基本身份驗證調用服務 X
6. 一個令牌可用於訪問每個服務，因為它在單獨的組件中進行驗證。
7. 服務僅受 API 管理門戶中配置的基本身份驗證保護。

這個場景可以實現嗎？ 如果不是，我怎樣才能實現與可用組件類似的東西？

Answer 1

大多數應該可以使用 API 管理策略。

2,3) 為此使用高級策略功能： https : //msdn.microsoft.com/en-us/library/azure/dn894085.aspx

4) 添加Validate JWT策略： https : //msdn.microsoft.com/library/azure/034febe3-465f-4840-9fc6-c448ef520b0f#ValidateJWT

<validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized. Access token is missing or invalid.">
    <openid-config url="https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration" />
    <required-claims>
        <claim name="id" match="all">
            <value>insert claim here</value>
        </claim>
    </required-claims>
</validate-jwt>

5) 默認行為、基本身份驗證或證書是 azure api 管理（或通過 JWT）的唯一選項，這也可以從 Azure 門戶進行設置。 https://msdn.microsoft.com/en-us/library/azure/dn894079.aspx#Basic

7) 是的，憑證可以安全地存儲在 API 管理的新“屬性”部分： https : //azure.microsoft.com/en-us/documentation/articles/api-management-howto-properties/