Konfigurieren der Clientauthentifizierung in Azure Container Apps

Azure Container Apps unterstützt die Clientzertifikatauthentifizierung (wird auch als gegenseitiges TLS oder mTLS bezeichnet), die den Zugriff auf Ihre Container-App über eine bidirektionale Authentifizierung ermöglicht. In diesem Artikel erfahren Sie, wie Sie die Clientzertifikatautorisierung in Azure Container Apps konfigurieren.

Wenn Clientzertifikate verwendet werden, werden die TLS-Zertifikate zwischen dem Client und Ihrer Container-App ausgetauscht, um Identitäten zu authentifizieren und Datenverkehr zu verschlüsseln. Clientzertifikate werden häufig in Zero Trust-Sicherheitsmodellen verwendet, um den Clientzugriff innerhalb einer Organisation zu autorisieren.

Sie können z. B. ein Clientzertifikat für eine Container-App anfordern, die vertrauliche Daten verwaltet.

Container Apps akzeptiert Clientzertifikate im PKCS12-Format, die von einer vertrauenswürdigen Zertifizierungsstelle (ZS) ausgestellt oder selbst signiert wurden.

Konfigurieren der Clientzertifikatautorisierung

Um die Unterstützung für Clientzertifikate zu konfigurieren, legen Sie die Eigenschaft clientCertificateMode in Ihrer Container-App-Vorlage fest.

Die -Eigenschaft kann auf einen der folgenden Werte festgelegt werden:

• require: Das Clientzertifikat ist für alle Anforderungen an die Container-App erforderlich.
• accept: Das Clientzertifikat ist optional. Wenn das Clientzertifikat nicht angegeben wird, wird die Anforderung trotzdem akzeptiert.
• ignore: Das Clientzertifikat wird ignoriert.

Der Eingang übergibt das Clientzertifikat an die Container-App, wenn require oder accept festgelegt ist.

Im folgenden ARM-Vorlagenbeispiel wird der Eingang so konfiguriert, dass ein Clientzertifikat für alle Anforderungen an die Container-App erforderlich ist.

{ 
  "properties": {
    "configuration": {
      "ingress": {
        "clientCertificateMode": "require"
      }
    }
  }
}

Nächste Schritte

Konfigurieren des Eingangs