Политика APIM - ограничение идентификатора клиента AAD
У меня есть несколько API-интерфейсов, которые размещены в APIM и доступны как субъекту пользователя, так и субъекту службы (аутентификация приложения) через токен Azure AD. У меня есть следующие требования для достижения этого с помощью политики APIM:
- Если режим аутентификации - UPN, должен быть доступ ко всем API.
- Если режим аутентификации - SPN, я хочу предоставить доступ только к выбранным ClientIds и только к определенным API.
Достижимо ли это с помощью APIM и как это повлияет на производительность?
Ответы 1
Попробуйте использовать политику выбора (https://docs.microsoft.com/en-us/azure/api-management/api-management-advanced-policies#choose) для проверки имеющегося у вас токена (см. Метод .AsJwt здесь https://docs.microsoft.com/en-us/azure/api-management/api-management-policy-expressions) и условно примените ту или иную политику validate-jwt (https://docs.microsoft.com/en-us/azure/api-management/api-management-access-restriction-policies#ValidateJWT).