Azure 容器应用身份验证支持名为令牌存储的功能。 令牌存储是与 Web 应用和 API 用户关联的令牌存储库。 通过将 Azure Blob 存储容器配置到您的容器应用中来启用令牌存储。
应用程序代码有时需要代表用户访问这些提供程序的数据,例如:
生成 SAS URL
在为容器应用创建令牌存储之前,首先需要一个具有专用 Blob 容器的 Azure 存储帐户。
转到存储帐户或在 Azure 门户中 创建新 帐户。
根据需要选择 “容器 ”并创建专用 Blob 容器。
为要在其中创建令牌存储的存储容器选择行末尾的三个点(•••)。
在 “生成 SAS” 窗口中输入适合需求的值。
请确保在定义中包含 读取、 写入和 删除 权限。
注释
为了确保对容器的访问不会停止,请确保跟踪 SAS 到期日期。
选择“ 生成 SAS 令牌 URL ”按钮以生成 SAS URL。
复制 SAS URL 并将其粘贴到文本编辑器中,以便在以下步骤中使用。
将 SAS URL 另存为机密
生成 SAS URL 后,可以将它作为机密保存在容器应用中。 确保与您的商店关联的权限包括对您的 Blob 存储容器的有效权限。
在 Azure 门户中转到你的容器应用。
选择 机密。
选择 “添加” 并在 “添加机密 ”窗口中输入以下值。
注释
“添加机密”窗口中的所有属性都是强制性的。
| 资产 | 价值 |
|---|---|
| 密钥 | 输入 SAS 机密的名称。 |
| 类型 | 选择 容器应用机密。 |
| 价值 | 输入从存储容器生成的 SAS URL 值。 |
创建令牌存储
containerapp auth update使用命令将 Azure 存储帐户关联到容器应用并创建令牌存储。
在本示例中,输入你的值,代替由 <> 括号括起来的占位符标记。
az containerapp auth update \
--resource-group <RESOURCE_GROUP_NAME> \
--name <CONTAINER_APP_NAME> \
--sas-url-secret-name <SAS_SECRET_NAME> \
--token-store true
此外,还可以使用 sasUrlSettingName通过属性创建令牌存储。