Azure AD 应用注册

给应用一个身份
用户名:Application ID
密码:证书和密钥
应用对 API 的权限在 Azure AD 中配置
委托权限 - 用户登录该应用后能访问什么
应用权限 - 应用自身能做什么
应用对资源的权限
在 Azure 访问策略中配置
应用对订阅、资源组、资源的权限

注册方式
在 Azure AD 中注册
App Service 启用 System Identity

应用访问 Azure 资源

App Service 访问 Key-Vault

  1. 启用 System Identity

  2. 在 Key-Vault 中配置对资源(证书、机密)的访问权限

    Azure DevOps 部署 Azure 资源

  3. 注册 Azure AD 应用,并生成密钥

  4. 在 Azure 访问策略中配置对订阅的 Contributor 权限
  5. 在 Azure DevOps 的连接器(Setting - Service Connections)中,添加 ARM 连接

    通过 Azure AD 实现用户登录

    通过 Azure AD 实现后台程序

    通过 Azure AD 保护自建 API