Schritt 6: Azure-Sicherheitsrichtlinie für Proxydienst im Portal erstellen

Die vorherigen Schritte ermöglichen es, dass Ihre importierten APIs (und Ihre Azure-Funktion) nicht nur von Snowflake aufgerufen werden können, sondern auch von anderen authentifizierten Clients, wie z. B. Anwendungen, die sich in Ihrem Azure AD-Mandantenbereich befinden oder die einen Dienstprinzipal in Ihrem Azure AD-Mandantenbereich haben.

If you want to allow only Snowflake to call the Azure Function, you must implement token validation. With token validation, when Snowflake tries to access the API Management service, Snowflake presents a JWT (JSON Web Token) access token obtained from Azure AD. The API Management service can either validate the JWT or pass it through without validation.

Unter diesem Thema finden Sie eine Anleitung zum Erstellen einer Sicherheitsrichtlinie für den API Management-Dienst durch Hinzufügen einer validate-JWT-Richtlinie, die die Regeln für die Validierung des Tokens definiert.

Wichtig

Snowflake empfiehlt dringend die Erstellung einer Sicherheitsrichtlinie für den API Management-Dienst. Nach Abschluss dieses Schritts darf nur noch Snowflake Ihre Azure-Funktion über den API Management-Dienst aufrufen.

Wenn Sie es vorziehen, die rollenbasierte Validierung in Ihrer validate-JWT-Richtlinie zu verwenden, finden Sie in der Microsoft-Dokumentation zum Dienstprinzipal unter New-AzureADServiceAppRoleAssignment eine Anleitung zum Zuweisen einer Rolle zu einem Dienstprinzipal.

Unter diesem Thema:

Eine validate-JWT-Richtlinie erstellen, die Snowflake das Aufrufen der Azure-Funktion erlaubt

In diesem Abschnitt wird gezeigt, wie Sie eine Richtlinie für die Validierung eines JSON Web Token (JWT) angeben, das Snowflake autorisiert, Ihre Azure-Funktion aufzurufen. Die Validierungsrichtlinie („validate-JWT policy“) validiert die folgenden zwei Ansprüche im JWT:

  • Die Snowflake-Dienstprinzipal-Anwendungs-ID (die „requestor AppID“ oder einfach „appid“).

  • Die Zielanwendungs-App-ID (die „audience ID“ oder einfach „aud“) der Azure-Funktion.

Weitere Informationen zu Ansprüchen an JSON Web Tokens (JWTs), die von Azure Active Directory erhoben werden, finden Sie in der Microsoft-Dokumentation unter Zugiffstoken.

Mit den folgenden Schritten wird die importierte API für die Verwendung eines JSON Web Token konfiguriert:

  1. Melden Sie sich beim Azure-Portal an.

  2. Gehen Sie zum Bildschirm API Management service.

  3. Wählen Sie Ihren API Management-Dienst aus.

  4. Suchen Sie in der linken Spalte den Abschnitt „APIs“, und klicken Sie dann darunter auf die Option „APIs“.

  5. Klicken Sie in der Spalte, die All APIs enthält, auf den Namen der API, für die Sie eine Sicherheitsrichtlinie hinzufügen möchten.

  6. Suchen Sie nach In-bound Processing.

    1. Klicken Sie auf + Add policy.

    2. Klicken Sie auf validate-jwt.

    3. Geben Sie unter Header name den Wert Authorization ein.

    4. Fügen Sie die Validierung des JWT (JSON Web Token) hinzu, der von Snowflake für den Zugriff auf die Azure-Funktion bereitgestellt wird:

      1. Suchen Sie nach Required claims, und klicken Sie auf + Add claim.

      2. Geben Sie unter Name den Wert aud (kurz für „audience“ (Zielgruppe)) ein.

      3. Suchen Sie innerhalb des erforderlichen Anspruchs nach Values, und klicken Sie auf +Add value.

        Fügen Sie die UUID hinzu, die Sie als „azure_ad_application_id“ im Befehl CREATE API INTEGRATION verwendet haben. Diese UUID haben Sie auf dem Arbeitsblatt unter „Azure Function App AD Application ID“ notiert.

    5. Fügen Sie einen separaten „claim“ (Anspruch) für Snowflake hinzu:

      1. Klicken Sie erneut auf + Add claim:

      2. Geben Sie unter Name die Zeichenfolge appid ein.

      3. Klicken Sie innerhalb des Anspruchs (Claim) auf + Add value, und fügen Sie im Feld Values die Snowflake-App-ID hinzu.

        Wenn Sie noch keine Snowflake-App-ID haben, können Sie diese durch Ausführen der folgenden Schritte ermitteln (die Snowflake-App-ID ist im Feld Application ID zu finden):

        1. Suchen Sie auf dem Arbeitsblatt Ihren Eintrag zu AZURE_MULTI_TENANT_APP_NAME.

        2. Suchen Sie über das Suchfeld des Azure Portal nach Enterprise Applications.

          Dies bringt Sie zum Bildschirm Enterprise applications | All applications.

        3. Suchen Sie auf diesem Bildschirm nach AZURE_MULTI_TENANT_APP_NAME.

          Das Suchfeld für Unternehmensanwendungen hat keine Bezeichnung. Achten Sie auf ein breites Feld direkt über der Liste der Unternehmensanwendungen. In dem Feld könnte etwas Ähnliches stehen wie First 50 shown, to search all of your applications, enter a display name or the application ID.

          Wenn die beiden Werte für AZURE_MULTI_TENANT_APP_NAME nicht exakt übereinstimmen, dann führen Sie die Suche erneut aus, verwenden Sie diesmal aber nur die ersten Zeichen dieses Namens (wenn der Name einen Unterstrich enthält, dann schließen Sie weder den Unterstrich noch irgendwelche Zeichen nach dem Unterstrich ein).

        4. Suchen Sie den Application ID-Wert für AZURE_MULTI_TENANT_APP_NAME.

  7. Fügen Sie folgenden Wert in Open ID URLs ein:

    https://login.microsoftonline.com/<tenant_id>/.well-known/openid-configuration

    Ersetzen Sie die <tenant_id> mit Ihrer Azure AD-Mandanten-ID (wie im Abschnitt Voraussetzungen zur Planung einer externen Funktion beschrieben).

  8. Klicken Sie auf Save.

Externe Funktion testen

Um sicherzustellen, dass Ihre externe Funktion mit der neuen Sicherheitsrichtlinie korrekt funktioniert, rufen Sie Ihre externe Funktion erneut auf.

Weitere Details dazu finden Sie unter Aufrufen einer externen Funktion für Azure.

IP-Adressen einschränken, von denen Aufrufe der Azure-Funktion akzeptiert werden (optional)

In addition to specifying a validate-JWT policy (or using role-based validation), you can implement additional security by restricting IP addresses. This ensures that only the API Management service’s IP address is allowed to access the Azure Function app containing your Azure Function.

Weitere Informationen zur Einschränkung von IP-Adressen finden Sie in der Microsoft-Dokumentation unter Beschränkung für eingehende IP-Adressen.

Nächster Schritt

Keiner. Sie haben erfolgreich eine externe Funktion für Azure erstellt.