Rychlý start: Nastavení ověřování Azure pomocí Azure PowerShellu

Podle následujících kroků vytvořte a nakonfigurujte poskytovatele ověření identity pomocí Azure PowerShellu. Informace o instalaci a spuštění Azure PowerShellu najdete v přehledu Azure PowerShellu .

Poznámka:

Modul Az.Attestation PowerShell je teď integrovaný do modulu Az PowerShell. Minimální verze modulu Az vyžadovaná pro podporu operací ověření identity:

• Modul Az PowerShell 6.5.0

Galerie prostředí PowerShell má zastaralé tls (Transport Layer Security) verze 1.0 a 1.1. Doporučuje se protokol TLS 1.2 nebo novější verze. Proto se můžou zobrazit následující chyby:

• UPOZORNĚNÍ: Nelze přeložit zdroj balíčku 'https://www.powershellgallery.com/api/v2'
• PackageManagement\Install-Package: Nebyla nalezena žádná shoda pro zadaná kritéria vyhledávání a název modulu.

Pokud chcete pokračovat v interakci s Galerie prostředí PowerShell, spusťte před příkazy Install-Module následující příkaz.

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 

Přihlášení k Azure

Přihlaste se k Azure v konzole PowerShellu (bez zvýšených přístupových oprávnění).

Connect-AzAccount

V případě potřeby přepněte na předplatné, které se použije pro ověření identity Azure.

Set-AzContext -Subscription <subscription id>  

Registrace poskytovatele prostředků Microsoft.Attestation

Zaregistrujte poskytovatele prostředků Microsoft.Attestation v předplatném. Další informace o poskytovatelích prostředků Azure a o tom, jak konfigurovat a spravovat poskytovatele prostředků, najdete v tématu Poskytovatelé a typy prostředků Azure. Registrace poskytovatele prostředků se vyžaduje jenom jednou pro předplatné.

Register-AzResourceProvider -ProviderNamespace Microsoft.Attestation

Regionální dostupnost služby Azure Attestation

(Get-AzResourceProvider -ProviderNamespace Microsoft.Attestation)[0].Locations

Vytvoření skupiny prostředků Azure

Vytvořte skupinu prostředků pro zprostředkovatele ověření identity. Další prostředky Azure (včetně virtuálního počítače s instancí klientské aplikace) je možné umístit do stejné skupiny prostředků.

$location = "uksouth" 
$attestationResourceGroup = "<attestation provider resource group name>"
New-AzResourceGroup -Name $attestationResourceGroup -Location $location 

Poznámka:

Po vytvoření zprostředkovatele ověření identity v této skupině prostředků musí mít uživatel Microsoft Entra roli Přispěvatel ověření identity u poskytovatele, aby mohl provádět operace, jako je konfigurace zásad nebo správa certifikátů podepisující zásady. Tato oprávnění se dají také dědit pomocí rolí, jako je Vlastník (oprávnění se zástupnými cardy) nebo Přispěvatel (oprávnění se zástupnými cardy) u předplatného nebo skupiny prostředků.

Vytvoření a správa poskytovatele ověření identity

New-AzAttestation vytvoří zprostředkovatele ověření identity.

$attestationProvider = "<attestation provider name>" 
New-AzAttestationProvider -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Location $location

PolicySignerCertificateFile je soubor určující sadu důvěryhodných podpisových klíčů. Pokud je pro parametr PolicySignerCertificateFile zadán název souboru, je možné zprostředkovatele ověření identity nakonfigurovat pouze se zásadami ve formátu JWT s podepsaným protokolem JWT. Zásady Else je možné nakonfigurovat v textu nebo ve formátu JWT bez znaménka.

New-AzAttestationProvider -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Location $location -PolicySignersCertificateFile "C:\test\policySignersCertificates.pem"

Ukázku PolicySignersCertificateFile najdete v příkladech certifikátu podepisujícího zásad.

Get-AzAttestation načte vlastnosti zprostředkovatele ověření identity, jako je stav a AttestURI. Poznamenejte si AttestURI, protože bude potřeba později.

Get-AzAttestationProvider -Name $attestationProvider -ResourceGroupName $attestationResourceGroup  

Výše uvedený příkaz by měl vytvořit výstup v tomto formátu:

Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
Location: MyLocation
ResourceGroupName: MyResourceGroup
Name: MyAttestationProvider
Status: Ready
TrustModel: AAD
AttestUri: https://MyAttestationProvider.us.attest.azure.net 
Tags: 
TagsTable: 

Zprostředkovatelé ověření identity je možné odstranit pomocí rutiny Remove-AzAttestation.

Remove-AzAttestationProvider -Name $attestationProvider -ResourceGroupName $attestationResourceGroup

Správa zásad

Aby bylo možné spravovat zásady, vyžaduje uživatel Microsoft Entra následující oprávnění pro akce:

• Microsoft.Attestation/attestationProviders/attestationProviders/attestation/read
• Microsoft.Attestation/attestationProviders/attestation/write
• Microsoft.Attestation/attestationProviders/attestationProviders/attestation/delete

K provedení těchto akcí musí mít uživatel Microsoft Entra roli Přispěvatel ověření identity u poskytovatele ověření identity. Tato oprávnění se dají také dědit pomocí rolí, jako je Vlastník (oprávnění se zástupnými cardy) nebo Přispěvatel (oprávnění se zástupnými cardy) u předplatného nebo skupiny prostředků.

Ke čtení zásad vyžaduje uživatel Microsoft Entra následující oprávnění pro akce:

• Microsoft.Attestation/attestationProviders/attestationProviders/attestation/read

K provedení této akce musí mít uživatel Microsoft Entra roli Čtenář ověření identity u zprostředkovatele ověření identity. Oprávnění ke čtení se dají také dědit pomocí rolí, jako jsou čtenář (oprávnění se zástupnými znaky) u předplatného nebo skupiny prostředků.

Tyto rutiny PowerShellu poskytují správu zásad pro zprostředkovatele ověření identity (jeden TEE najednou).

Get-AzAttestationPolicy vrátí aktuální zásadu pro zadaný TEE. Rutina zobrazuje zásady v textovém i JWT formátu zásady.

$teeType = "<tee Type>"
Get-AzAttestationPolicy   -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType 

Podporované typy TEE jsou SgxEnclave, OpenEnclave a VbsEnclave.

Set-AttestationPolicy nastaví novou zásadu pro zadaný TEE. Rutina přijímá zásady ve formátu textu nebo JWT a řídí se parametrem PolicyFormat. Text je výchozí hodnota pro PolicyFormat.

$policyFormat = "<policy format>"
$policy=Get-Content -path "C:\test\policy.txt" -Raw
Set-AzAttestationPolicy   -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType -Policy $policy -PolicyFormat $policyFormat 

Pokud je během vytváření zprostředkovatele ověření identity k dispozici policySignerCertificateFile, je možné zásady nakonfigurovat pouze v podepsaném formátu JWT. Zásady Else je možné nakonfigurovat v textu nebo ve formátu JWT bez znaménka.

Zásady ověření identity ve formátu JWT musí obsahovat deklaraci identity s názvem AttestationPolicy. Pro podepsané zásady musí být JWT podepsaný privátním klíčem, který odpovídá některému z existujících certifikátů podepisující zásady.

Ukázky zásad najdete v příkladech zásad ověření identity.

Reset-AzAttestationPolicy resetuje zásadu na výchozí pro zadaný TEE.

Reset-AzAttestationPolicy -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType 

Správa certifikátů podepisující zásady

Tyto rutiny PowerShellu poskytují správu certifikátů podepisující zásady pro poskytovatele ověření identity:

Get-AzAttestationPolicySigners -Name $attestationProvider -ResourceGroupName $attestationResourceGroup

Add-AzAttestationPolicySigner -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Signer <signer>

Remove-AzAttestationPolicySigner -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Signer <signer>

Certifikát podepisující zásady je podepsaný JWT s deklarací identity s názvem maa-policyCertificate. Hodnota deklarace identity je JWK, která obsahuje důvěryhodný podpisový klíč, který se má přidat. JWT musí být podepsaný privátním klíčem, který odpovídá některému z existujících certifikátů podepisující zásady.

Veškerá sémantická manipulace s certifikátem podepisujícího zásad musí být provedena mimo PowerShell. Pokud jde o PowerShell, jedná se o jednoduchý řetězec.

Ukázku certifikátu podepisujícího zásad najdete v příkladech certifikátu podepisujícího zásad.

Další informace o rutinách a jejích parametrech najdete v rutinách PowerShellu pro službu Azure Attestation.

Další kroky

• Jak vytvořit a podepsat zásady ověření identity
• Testování enklávy SGX pomocí ukázek kódu