Azure Functions 和 Azure AD 授权

这篇文章是有关 Azure Functions 和 PowerShell 的系列文章的一部分。查看该系列中其他帖子的列表！

在上一篇有关 Azure Functions 和 Azure AD 身份验证的文章中，我们了解了如何要求对 Function App 进行身份验证。现在我们知道谁访问了我们的功能，是时候看看授权了，这意味着现在我们知道他们是谁，我们应该让他们进入吗？

限制对选定用户的访问

由于应用程序当前已设置，无论我们使用快速模式还是高级模式，租户的任何注册应用程序、用户或访客用户当前都可以登录我们的应用程序。到目前为止我们只配置了身份验证部分。现在让我们看一些基本的授权。

为了进一步保护我们的功能应用程序，我们不仅要求用户进行身份验证，还要求该用户获得授权，或者简单来说，我们只想接纳选定的用户。

配置授权的第一步只是限制对选定用户组的访问。 Azure AD 内置了对此的支持，我们只需通过配置应用程序来打开它。

这可以在门户中完成，方法是转到 Azure AD 中的企业应用程序，找到您的应用程序，转到属性并设置属性“需要用户分配？”到“是”。

也可以使用 Azure CLI 来完成：

$ServerAppId = 'c491d3f8-0d15-4ea5-96fd-957601d579fa'
az ad sp update --id $ServerAppId --set appRoleAssignmentRequired=true

尝试浏览我的应用程序现在应该会显示消息“您无权查看此目录或页面”。

要再次获得访问权限，请将每个用户添加到应用程序中。我们可以在 Azure 门户中执行此操作，方法是转到 Azure Active Directory -> 企业应用程序，找到我们的应用程序，然后在“用户和组”下添加应允许访问我们的应用程序的所有用户。

我们还可以使用 Microsoft Graph API 来完成此操作。在此示例中，我们再次使用 Azure CLI 从 PowerShell 调用 Graph。

首先，我们将应用程序的应用程序 ID (clientId) 和用户的用户名保存在变量中。然后，我们使用 az ad sp show 来获取我们的服务主体（在门户中称为企业应用程序）。我们需要向 Microsoft Graph 发送三项内容：resourceId（服务主体的 objectID）、principalId（用户的 objectId）和我们要分配的角色的 id。

等一下，角色？我们还没有创建任何角色？

不，我们还没有创建任何角色，如果我们的服务主体/Enterprice 应用程序没有任何角色，它在门户中具有称为“默认访问权限”的内容，我们可以通过使用空 guid (" 00000000-0000-0000-0000-000000000000")。

最后要注意的是，我们再次将正文传输到 ConvertTo-Json 两次，以使用反斜杠 (\) 转义所有引号 (")。

说得够多了，这是代码：

$AppId = 'c491d3f8-0d15-4ea5-96fd-957601d579fa'
$UserPrincipalName = '[email '

$App = az ad sp show --id $AppId | ConvertFrom-Json
$principalId = az ad user show --id $UserPrincipalName --query 'objectId' -o tsv

$Body = @{
    appRoleId = [Guid]::Empty.Guid
    principalId = $principalId
    resourceId = $App.objectId
} | ConvertTo-Json -Compress | ConvertTo-Json
az rest --method post --uri "https://graph.microsoft.com/v1.0/users/$UserPrincipalName/appRoleAssignments" --body $Body --headers "Content-Type=application/json"

现在很方便！但是如果我想创建自定义角色怎么办？你猜怎么了？你可以！

使用自定义角色进行授权

让我们创建一些自定义应用程序角色！为什么？这些角色将在访问令牌中可用，并且可以在我们的函数代码中使用来确定是否允许请求。

如果您不需要任何角色，可以跳过此部分并继续使用“默认访问”角色，该角色由空 GUID 00000000-0000-0000-0000-000000000000 表示，如上所述。如果您创建任何自定义角色，“默认访问”角色将不再可用。尝试将 DefaultAcccess 分配给定义了角色的应用程序将导致一条错误消息，指出：在应用程序上找不到分配的权限

是时候创建自定义角色了！我们需要指定哪种对象可以拥有该角色，为该角色提供描述、显示名称、id 和值。该值是角色名称，id 必须是唯一的 GUID。我正在使用 [guid]::NewGuid().Guid 它将生成一个新的 GUID。

这是一个例子：

$AppId = 'c491d3f8-0d15-4ea5-96fd-957601d579fa'
# Add app role to an app
$AppRole = @{
    allowedMemberTypes = @('User')
    description = 'Example of custom role'
    displayName = 'CustomRole'
    id = [guid]::NewGuid().Guid
    isEnabled = $true
    value = 'Custom'
} | ConvertTo-Json -Compress | ConvertTo-Json

# Update enterprise application
az ad sp update --id $AppId --add appRoles $AppRole

AppRole 的定义方式记录如下：
https://docs.microsoft.com/graph/api/resources/approle?view=graph-rest-1.0

一旦我们设置了角色，我们就可以将其分配给用户。这以与上面类似的方式完成。唯一的新变化是，我们现在在 $App.appRoles 中查找应用程序角色 ID，而不是使用空 GUID。

$AppId = 'c491d3f8-0d15-4ea5-96fd-957601d579fa'
$AppRoleValue = 'Custom'
$UserPrincipalName = '[email '

$App = az ad sp show --id $AppId | ConvertFrom-Json
$principalId = az ad user show --id $UserPrincipalName --query 'objectId' -o tsv

$Body = @{
    appRoleId = $App.appRoles.where{$_.Value -eq $AppRoleValue}.id
    principalId = $principalId
    resourceId = $App.objectId
} | ConvertTo-Json -Compress | ConvertTo-Json
az rest --method post --uri "https://graph.microsoft.com/beta/users/$UserPrincipalName/appRoleAssignments" --body $Body --headers "Content-Type=application/json"

有关如何保护 Web API 的更多信息，请查看场景“受保护的 Web API”和“调用 Web API 的 Web API”。

验证代码中的角色

使用应用程序服务的简单身份验证功能，令牌验证已为我们完成，我们不需要处理太多，但如果我们想验证单独的角色，我们仍然需要解码 id 令牌并提取角色部分。

这根本不像看起来那么难。我们在名为 x-ms-token-aad-id-token 的标头中获取 id 令牌。 Easy auth 确保此标头不能由用户提供，只能通过 Easy auth 提供，这样我们就可以信任该标头。

为了解码 JWT 令牌，我使用下面的函数。

function ConvertFrom-JwtToken {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory, ValueFromPipeline)]
        [string]
        $Token
    )
    
    process {
        $DecodedToken = $Token.Replace('-', '+').Replace('_', '/')

        $Header,$Payload,$Signature = $DecodedToken.Split('.') | ForEach-Object -Process {
            $String = $_
            switch($String.Length % 4) {
                0 {$String;break}
                1 {throw 'Invalid token'}
                2 {"$String==";break}
                3 {"$String=";break}
            }
        }

        [pscustomobject][ordered]@{
            Header = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($Header)) | ConvertFrom-Json
            Payload = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($Payload)) | ConvertFrom-Json
            Signature = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($Signature))

        }

    }

}

我们可以访问 Azure Functions 中请求对象的标头，下面是访问 id 令牌、对其进行解码并打印用户角色的示例：

$IDToken = $Request.Headers.'x-ms-token-aad-id-token' | ConvertFrom-JwtToken
$Roles = $IDToken.Payload.Roles
Write-Output $Roles