Azure의 Azure Defender에는 http 호출을 지원하는 다른 Azure 리소스에서 구현할 수 없는 Azure 함수 인증에 대한 두 가지 정책이 있습니다.
- 함수 앱에는 클라이언트 인증서(수신 클라이언트 인증서)가 활성화되어 있어야 합니다.
- 함수 앱에는 인증이 활성화되어 있어야 합니다.
Azure Datafactory에서 인증을 시스템 관리 ID로 선택하고 헤더에 인증서를 전달하려고 하면 Microsoft에서 지원하지 않습니다(지원 티켓에서 "2가지 다른 유형으로 인증할 수 있는 경우가 매우 드물다"라고 말함). 인증과 동시에 MSI 인증이면 충분합니다.")
함수 앱에서 클라이언트 인증서 및 인증을 성공적으로 활성화하고 클라이언트 인증을 받은 사람이 있나요? 논리 앱 또는 데이터 팩터리의 클라이언트 쪽 구성을 공유할 수 있나요?
답변1
사용 사례에 대한 자세한 내용을 제공할 수 있다면 질문에 대답하는 것이 더 쉬울 것입니다. 그럼에도 불구하고 나는 내 가정을 가지고 대답하려고 노력할 것이다. (굵은 글씨로)
Azure Data Factory의 웹 활동을 사용하여 Azure 함수를 호출합니다.
안타깝게도 웹 활동에서는 시스템 할당 관리 ID와 클라이언트 인증서 인증 방법을 동시에 사용할 수 없습니다.
그래도 두 가지 방법을 동시에 사용하고 싶다면
- 웹 활동에서 관리 ID 인증을 켜야 하며
- 사용자 지정 헤더에 인증서를 전달하고 Azure 함수 코드에서 유효성을 검사합니다.
사용자 지정 헤더에 인증서를 전달하는 것은 기본 제공 Azure 함수와 아무 관련이 없습니다.클라이언트 인증서 모드. 클라이언트 인증서 모드를 켜진 상태로 두어야 합니다.무시하다Azure 함수의 일반 설정에서 상태를 확인하세요. 이 경우 Azure 함수의 프런트엔드 부하 분산 장치는 헤더를 클라이언트 코드에 투명하게 전달합니다.
Azure Function에 인증하기 위한 두 가지 독립적인 방법 제공
Azure 함수가 클라이언트에 대해 두 가지 메서드를 독립적으로 제공하도록 허용하려면 다음을 선택해야 합니다.허용하다Azure 함수의 클라이언트 인증서 모드 설정 아래에 있는 옵션입니다. 이 경우 클라이언트에는 먼저 프런트엔드 로드 밸런서에서 인증서를 요청하는 메시지가 표시됩니다. 인증서가 제공되지 않으면 로드 밸런서는 호출자를 인증하기 위해 요청을 Easy-Auth 미들웨어로 전달합니다. 인증되지 않은 요청은 미들웨어에 의해 차단됩니다.
이 대체 방법을 사용하면 두 가지 인증 방법을 독립적으로 제공할 수 있습니다. 내 가정이 올바른지 또는 제안된 솔루션을 달성하기 위해 구성 요소를 구성하는 방법에 대한 자세한 내용이 필요한 경우 알려주십시오.