Konfigurieren der Clientauthentifizierung in Azure Container Apps
Azure Container Apps unterstützt die Clientzertifikatauthentifizierung (wird auch als gegenseitiges TLS oder mTLS bezeichnet), die den Zugriff auf Ihre Container-App über eine bidirektionale Authentifizierung ermöglicht. In diesem Artikel erfahren Sie, wie Sie die Clientzertifikatautorisierung in Azure Container Apps konfigurieren.
Wenn Clientzertifikate verwendet werden, werden die TLS-Zertifikate zwischen dem Client und Ihrer Container-App ausgetauscht, um Identitäten zu authentifizieren und Datenverkehr zu verschlüsseln. Clientzertifikate werden häufig in Zero Trust-Sicherheitsmodellen verwendet, um den Clientzugriff innerhalb einer Organisation zu autorisieren.
Sie können z. B. ein Clientzertifikat für eine Container-App anfordern, die vertrauliche Daten verwaltet.
Container Apps akzeptiert Clientzertifikate im PKCS12-Format, die von einer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt oder selbst signiert wurden.
Konfigurieren der Clientzertifikatautorisierung
Um die Unterstützung für Clientzertifikate zu konfigurieren, legen Sie die Eigenschaft clientCertificateMode in Ihrer Container-App-Vorlage fest.
Die -Eigenschaft kann auf einen der folgenden Werte festgelegt werden:
require: Das Clientzertifikat ist für alle Anforderungen an die Container-App erforderlich.accept: Das Clientzertifikat ist optional. Wenn das Clientzertifikat nicht angegeben wird, wird die Anforderung trotzdem akzeptiert.ignore: Das Clientzertifikat wird ignoriert.
Der Eingang übergibt das Clientzertifikat an die Container-App, wenn require oder accept festgelegt ist.
Im folgenden ARM-Vorlagenbeispiel wird der Eingang so konfiguriert, dass ein Clientzertifikat für alle Anforderungen an die Container-App erforderlich ist.
{
"properties": {
"configuration": {
"ingress": {
"clientCertificateMode": "require"
}
}
}
}