Блог

Я ищу способ автоматизации потоков управления Microsoft Azure, таких как создание компьютеров и отключение пользователей.

Учетная запись автоматизации работает слишком медленно для меня, для запуска runbook может потребоваться до 30 минут, и я хочу получить ответ немедленно. Функции Azure намного быстрее, но не имеют пользовательского контекста. Я хочу, чтобы они могли работать только с пользователями, имеющими правильные разрешения.

Есть ли другой способ? Могу ли я сделать так, чтобы функции Azure знали о разрешениях портала Azure и группах AD?

Да, вы можете это сделать. Вот пример (HttpTriggered), который заставляет нужного пользователя запускать вашу функцию, но запрещать другим:

1. Перейдите к своему функциональному приложению на портале, щелкните Authentication/authorization , настройте login with Azure AD .
2. Перейдите в Azure Active Directory, нажмите манифест, настройка appRoles .
3. Вернитесь к обзору AAD и перейдите к Managed application in... .
4. Щелкните Пользователи и группы на левой панели, щелкните Add User , вы можете добавлять пользователей и группы к назначенным ролям, которые мы добавили в файл манифеста ранее. введите описание изображения здесь
5. Щелкните Свойства на левой панели, настройте User assignment required? на Yes . Вы можете протестировать rest api следующим образом:
6. Получение токена доступа
7. Получите доступ к своей функции с помощью заголовка запроса Authorization .