Ověřování ve službě Azure Key Vault
Ověřování pomocí služby Key Vault funguje s ID Microsoft Entra, které zodpovídá za ověření identity jakéhokoli daného objektu zabezpečení. Objekt zabezpečení je cokoli, co může požádat o přístup k prostředkům Azure. Sem patří:
- Uživatelé – skutečné osoby s účty v Microsoft Entra ID.
- Skupiny – kolekce uživatelů. Oprávnění udělená skupině platí pro všechny její členy.
- Service Principals – představují aplikace nebo služby (nikoli osoby). Představte si to jako uživatelský účet aplikace.
U aplikací existují dva hlavní způsoby, jak získat služební principal:
Použijte spravovanou identitu (doporučeno): Azure za vás vytvoří a spravuje principál služby. Aplikace může bezpečně přistupovat k dalším službám Azure bez uložení přihlašovacích údajů. Spolupracuje se službami, jako jsou App Service, Azure Functions a Virtual Machines.
Zaregistrovat aplikaci ručně: Aplikaci zaregistrujete v Microsoft Entra ID. Tím se vytvoří instanční objekt a objekt aplikace, který aplikaci identifikuje ve všech tenantech.
Poznámka
Doporučuje se použít spravovanou identitu přiřazenou systémem.
Ověřování ve službě Key Vault v kódu aplikace
Sada KEY Vault SDK používá klientskou knihovnu azure Identity, která umožňuje bezproblémové ověřování ve službě Key Vault napříč prostředími se stejným kódem. Následující tabulka obsahuje informace o klientských knihovnách identit Azure:
| platforma .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK pro Python | Azure Identity SDK pro Java | Azure Identity SDK JavaScript |
Ověřování ve službě Key Vault pomocí REST
Přístupové tokeny musí být odeslány do služby pomocí hlavičky HTTP Authorization:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Pokud není přístupový token poskytnut nebo když služba token odmítne, je klientovi vrácena chyba, která obsahuje hlavičku HTTP 401, například:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Parametry v hlavičce WWW-Authenticate jsou:
autorizace: Adresa autorizační služby OAuth2, která se může použít k získání přístupového tokenu pro žádost.
resource: Název prostředku (
https://vault.azure.net), který se má použít v žádosti o autorizaci.