Приложение Azure Function — соответствие требованиям Azure Defender

Приложение Azure Function — соответствие требованиям Azure Defender

В Azure Defender в Azure есть две политики для аутентификации функций Azure, которые я не могу реализовать из других ресурсов Azure, поддерживающих http-вызовы.

  • В функциональных приложениях должны быть включены клиентские сертификаты (входящие клиентские сертификаты)
  • В функциональных приложениях должна быть включена аутентификация.

Если в Azure Datafactory я выбираю аутентификацию как системное управляемое удостоверение и пытаюсь передать сертификат в заголовках, то Microsoft его не поддерживает (как мне сказали в тикете поддержки: «существуют очень редкие случаи, когда можно пройти аутентификацию с двумя разными типами аутентификации одновременно, аутентификации MSI должно быть достаточно»).

система управляемой аутентификации личности

Кто-нибудь успешно включил клиентские сертификаты и аутентификацию в функциональном приложении и получил клиентскую аутентификацию? Можете ли вы поделиться конфигурацией на стороне клиента для логического приложения или datafactory?

решение1

Было бы легче ответить на ваш вопрос, если бы вы могли предоставить больше подробностей о вашем варианте использования. Тем не менее, я попытаюсь ответить на него с помощью моих предположений. (жирным шрифтом)

Использование веб-действия в Azure Data Factory для вызова функции Azure.

К сожалению, в веб-активности невозможно одновременно использовать методы аутентификации «Назначенная системой управляемая идентификация» и «Сертификат клиента».

Если вы все же хотите использовать оба метода одновременно, то

  1. вам необходимо включить аутентификацию Managed Identity в Web Activity и
  2. передайте сертификат в пользовательском заголовке и проверьте его в коде функции Azure.

Обратите внимание, что передача сертификата в пользовательском заголовке не имеет ничего общего со встроенной функцией Azure.Режим клиентского сертификата. Вам следует оставить режим сертификата клиента включенным.Игнорироватьсостояние в общих настройках Azure Function. В этом случае интерфейсный балансировщик нагрузки Azure Function будет прозрачно пересылать заголовки клиентскому коду.

Предоставление двух независимых методов аутентификации в Azure Function

Если вы собираетесь разрешить Azure Function предоставлять два метода для своих клиентов независимо, то вам следует выбратьпозволятьпараметр в настройках режима сертификата клиента в Azure Function. В этом случае сначала клиенту будет предложено сертификат от frontend load balancer. Если сертификат не предоставлен, load balancer перенаправляет запрос в промежуточное ПО Easy-Auth для аутентификации вызывающего. Неаутентифицированные запросы будут блокироваться промежуточным ПО.

С помощью этого резервного метода вы можете предоставить два метода аутентификации независимо. Пожалуйста, дайте мне знать, верны ли мои предположения или вам нужны дополнительные сведения о том, как настроить компоненты для выполнения предлагаемых решений.

Связанный контент