Madrid
listas@juanquijano.es

Seguridad básica en el acceso a una Azure Function con un Service Principal

The Bender

En el artículo anterior he construido una Function para la gestión básica de operaciones sobre mi máquina virtual en Azure de desarrollo y formación.

Para ejecutar las operaciones he dado de alta un service principal llamado robotijo, le he dado permisos en la suscripción adecuada, y he utilizado sus datos de identificación para lanzar las acciones sobre la VM.

Todo ello en C#, con un SDK de programación «Fluent» y xUnit como framework de testing.

Ahora me quiero centrar en el detalle de la construcción del Service Principal y en los datos que necesito para su configuración más básica y sencilla de la seguridad.

Creando a «Robotijo»

Empiezo yéndome al Directorio Activo en donde quiero dar de alta mi nueva cuenta Service Principal, y aquí doy de alta un nuevo registro de aplicación (app registrations); le doy un nombre y un ámbito de actuación (un tier, multiples tiers y/o usuarios externos) y ya tengo tres parámetros que voy a utilizar cada vez que lo invoque:

  • Application Id (ClientID): el identificador de seguridad con el que se realiza la relación de confianza con el directorio activo.
  • ObjectID: el identificado del propio objeto.
  • Directory (tenant)ID: El directorio a donde pertenece el Objeto. Ojo con no confundirlo con el tenantId donde queremos realizar las operaciones con el Service Principal, que eso se localiza en el propio Azure AD elegido.

Para un mínimo de seguridad debo de crear un secreto de cliente desde el menú de certificados y secretos del Service Principal. Aquí lo genero y se me muestra y, AL LORO, tengo que copiarlo a buen recaudo porque no se vuelve a mostrar; si lo pierdo tengo que generar otro.

Lo ideal, y de lo que escribiré más adelante, sería que este secreto lo almacenara en un Key Vault o, aún mejor, que en vez de esta clave alfanumérica utilizará un Certificado (también almacenado en un Key Vault).

Invocando a «Robotijo»

Ahora me voy al código y configuración de la función, introduciendo en el fichero de conexión los datos necesarios para indicar cual es el Service Principal que quiero utilizar para realizar las operaciones sobre la VM. Sin olvidarme de darle los permisos necesarios en la suscripción.

El applicationId y el tenatId los saco de la pantalla principal de Robotijo.

Service Principal Created

El applicationSecret lo he copiado al hacerlo en la sección de Certificados y secretos.

Service Principal Secret

Y el SubscriptionId lo he sacado de la sección de suscripciones del portal.

Service Principal Subscription

A partir de aquí ya tengo el objeto del Service Principal en un IAzure, que puedo utilizar para ejecutar las acciones en la Function, como en el siguiente ejemplo en donde solicito el estatus de la Vm:

Por cierto, encontrar el Id de la máquina virtual ha sido un poquito lioso. El que me está pidiendo está dentro de la propia vm, en el menú de Propiedades, siendo el ResourceId.

Virtual Machien Resource Id

Espero que sea de ayuda.

Tags: ,

Un comentario

  1. […] esté y esté artículo he compartido cómo he construido a robotijo, una function que me permite realizar operaciones muy […]

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: