Sdílet prostřednictvím


Základní koncepty

Tento článek definuje některé základní koncepty související s ověřením identity Microsoft Azure.

Webový token JSON (JWT)

Webový token JSON (JWT) je otevřená standardní metoda RFC7519 pro bezpečné přenosy informací mezi stranami jako objekt JSON (JavaScript Object Notation). Tyto informace je možné ověřit a důvěřovat, protože jsou digitálně podepsané. JWT se dají podepsat pomocí tajného klíče nebo páru veřejného a privátního klíče.

Webový klíč JSON (JWK)

Webový klíč JSON (JWK) je datová struktura JSON, která představuje kryptografický klíč. Tato specifikace také definuje datovou strukturu JSON sady JWK, která představuje sadu sad JWKs.

Zprostředkovatel ověření identity

Poskytovatel ověření identity patří poskytovateli prostředků Azure s názvem Microsoft.Attestation. Poskytovatel prostředků je koncový bod služby, který poskytuje kontrakt REST pro ověření identity Azure a nasazuje se pomocí Azure Resource Manageru. Každý poskytovatel ověření identity respektuje konkrétní zjistitelnou zásadu. Zprostředkovatelé ověření identity se vytvoří s výchozí zásadou pro každý typ ověření identity (všimněte si, že enkláva VBS nemá žádné výchozí zásady). Další podrobnosti o výchozích zásadách pro SGX najdete v příkladech zásad ověření identity.

Žádost o ověření identity

Žádost o ověření identity je serializovaný objekt JSON odesílaný klientskou aplikací poskytovateli ověření identity. Objekt požadavku pro enklávu SGX má dvě vlastnosti:

  • "Quote" – Hodnota vlastnosti "Quote" je řetězec obsahující base64URL kódovanou reprezentaci citace ověření identity.
  • "EnclaveHeldData" – Hodnota vlastnosti "EnclaveHeldData" je řetězec obsahující base64URL kódované reprezentace Enclave Held Data.

Ověření identity Azure ověří zadanou "citaci", aby se zajistilo, že hodnota hash SHA256 poskytnutého enklávního data se vyjadřuje v prvních 32 bajtech pole reportData v uvozovce.

Zásady ověřování identity

Zásady ověření identity se používají ke zpracování důkazů ověření identity a jsou konfigurovatelné zákazníky. Jádrem ověření identity Azure je modul zásad, který zpracovává deklarace, které představují důkaz. Zásady se používají k určení, jestli služba Azure Attestation vydá token ověření identity na základě důkazů (nebo ne), a proto attester (nebo ne). Proto selhání předání všech zásad vede k tomu, že se nevystavuje žádný token JWT.

Pokud výchozí zásady poskytovatele ověření identity nevyhovují potřebám, zákazníci můžou vytvářet vlastní zásady v libovolné oblasti podporované ověřením identity Azure. Správa zásad je klíčovou funkcí poskytovanou zákazníkům ověřením identity Azure. Zásady jsou specifické pro typ ověření identity a lze je použít k identifikaci enkláv nebo přidání deklarací identity do výstupního tokenu nebo úpravě deklarací identity ve výstupním tokenu.

Podívejte se na příklady zásad ověření identity.

Výhody podepisování zásad

Zásady ověření identity nakonec určují, jestli je token ověření identity vystavený službou Azure Attestation. Zásada také určuje deklarace identity, které se mají vygenerovat v tokenu ověření identity. Je důležité, aby zásady, které služba vyhodnotila, jsou zásady napsané správcem a že nebyly manipulovány ani upraveny externími entitami.

Model důvěryhodnosti definuje autorizační model zprostředkovatele ověření identity, který definuje a aktualizuje zásady. Podporují se dva modely – jeden založený na autorizaci Microsoft Entra a jeden na základě vlastnictví kryptografických klíčů spravovaných zákazníkem (označovaný jako izolovaný model). Izolovaný model umožňuje službě Azure Attestation zajistit, aby zásady odeslané zákazníkem nebyly manipulovány.

V izolovaném modelu správce vytvoří zprostředkovatele ověření identity, který v souboru určí sadu důvěryhodných podpisových certifikátů X.509. Správce pak může k poskytovateli ověření identity přidat podepsanou zásadu. Ověření identity Azure při zpracování žádosti o ověření identity ověří podpis zásady pomocí veřejného klíče reprezentovaný parametrem "jwk" nebo "x5c" v hlavičce. Ověření identity Azure ověřuje, jestli je veřejný klíč v hlavičce požadavku v seznamu důvěryhodných podpisových certifikátů přidružených k poskytovateli ověření identity. Předávající strana (Azure Attestation) tak může důvěřovat zásadám podepsaným pomocí certifikátů X.509, o které ví.

Ukázky najdete v příkladech certifikátu podepisujícího zásad.

Token ověření identity

Odpověď na ověření identity Azure je řetězec JSON, jehož hodnota obsahuje JWT. Azure Attestation zabalí deklarace identity a vygeneruje podepsaný JWT. Operace podepisování se provádí pomocí certifikátu podepsaného svým držitelem s názvem subjektu, který odpovídá prvku AttestUri zprostředkovatele ověření identity.

Rozhraní API get OpenID Metadata vrátí odpověď konfigurace OpenID určenou protokolem zjišťování OpenID Connect. Rozhraní API načte metadata o podpisových certifikátech, které používá služba Azure Attestation.

Podívejte se na příklady tokenu ověření identity.

Šifrování neaktivních uložených dat

Aby bylo zajištěno zabezpečení zákaznických dat, azure Attestation uchovává svá data ve službě Azure Storage. Azure Storage poskytuje šifrování neaktivních uložených dat při zápisu dat do datových center a dešifruje je pro zákazníky, kteří k němu mají přístup. K tomuto šifrování dochází pomocí šifrovacího klíče spravovaného Microsoftem.

Kromě ochrany dat v úložišti Azure využívá služba Azure Attestation k šifrování virtuálních počítačů služeb také službu Azure Disk Encryption (ADE). Pro ověřování identity Azure běžící v enklávě v důvěrných výpočetních prostředích Azure se rozšíření ADE v současné době nepodporuje. Pokud chcete zabránit ukládání dat v paměti, je v takových scénářích zakázaný stránkový soubor.

Na místních pevných discích instance Azure Attestation se neuchovávají žádná zákaznická data.

Další kroky