azure - 使用 Azure Active Directory 身份验证在 Linux 上重新启动 Azure 应用服务会重置 /.auth/me/

问题描述

我正在使用 Azure 应用服务身份验证/授权来限制对我的 Web 应用程序的访问，并使用 Azure Active Directory 作为登录方法。

我已将“请求未通过身份验证时采取的操作”设置为“使用 Azure Active Directory 登录”。

为了查找有关登录用户的详细信息，我向 /.auth/me 端点发出请求（如 Microsoft 文档中的说明所述）。这工作正常，直到应用程序在 Azure 中重新启动。重启后，/.auth/me/ 端点返回一个空数组，而不是用户信息。

如果应用服务计划运行 Linux，我只能重现该问题。如果我创建 Windows 应用服务计划，即使在重新启动后也会填充 /.auth/me 端点。

我尝试在 Azure 上创建一个新应用程序，但没有上传任何代码，但问题仍然存在。

我是否需要设置一些额外的设置才能在基于 Linux 的 ASP 上工作？我已经使用基于 docker 的 ASP 和基于代码（基于 dotnet core 2.2）进行了测试。

标签： azureazure-active-directoryauthorizationazure-web-app-service

我在他们的论坛上得到了微软的答复。正如@Tony 还发现的那样，这是因为处理 Linux 应用服务身份验证的中间件容器重新启动并丢失了它的令牌。中间件容器是在您使用 Linux 应用服务时在 Azure 中的代码旁边/前面运行的第二个容器，它处理所有 Auth 魔法（请参阅Jan Hajek 关于中间件容器的博客文章）

Microsoft 目前正在调查令牌丢失是一个潜在的错误，他们推荐的解决方法是使用“Blob 存储令牌存储”，这意味着 Azure 中间件容器会将令牌存储在 Blob 存储中而不是磁盘上，从而使它们保持重启.

实施：

在 azure 中创建一个 blob 存储（如果您还没有想要使用的存储）
创建仅具有私有访问权限的 blob 容器
在存储实例上创建共享访问签名。
- 授予它访问权限*：
  - 允许的服务：Blob
  - 允许的资源类型：容器、对象
  - 允许的权限：读取、写入、列出、创建
- 为您的 SAS 设置开始/结束日期
- 生成 SAS 并复制“Blob 服务 SAS URL”
- 修改 SAS URL 以包含您的 Blob 容器名称。例如，如果您在步骤 2 中创建的容器名为"tokens"，请从以下位置修改您的 SAS URL：
  
  https://xxxxx.blob.core.windows.net/?sv=2018-03-28...至
  
  https://xxxxx.blob.core.windows.net/tokens/?sv=2018-03-28...
转到您的 Web 应用程序并添加新的应用程序设置。为其命名WEBSITE_AUTH_TOKEN_CONTAINER_SASURL并为其提供修改后的 SAS URL 的值
转到您的网站并登录。现在应该在 blob 存储中创建一个令牌，并且在重新启动后也将使用该令牌。
如果它不能立即工作，请尝试在 Azure 中停止/启动 Web 应用程序。有关其他调试提示，请参阅上面的博客文章。

(*) 上面链接的博客文章指出 SAS 所需的权限较少，但我发现我还必须添加对象访问权限。

azure - 使用 Azure Active Directory 身份验证在 Linux 上重新启动 Azure 应用服务会重置 /.auth/me/

问题描述

解决方案

推荐阅读