Authentifizierung im Azure Key Vault

Die Authentifizierung mit Key Vault funktioniert in Verbindung mit der Microsoft Entra-ID, die für die Authentifizierung der Identität eines bestimmten Sicherheitsprinzipals verantwortlich ist.

Ein Sicherheitsprinzipal ist ein Objekt, das einen Benutzer, eine Gruppe, einen Dienst oder eine Anwendung darstellt, die den Zugriff auf Azure-Ressourcen anfordert. Azure weist jedem Sicherheitsprinzipal eine eindeutige Objekt-ID zu.

• Ein Benutzer-Sicherheitsprinzipal identifiziert eine Person, die ein Profil in Microsoft Entra ID hat.

• Eine Gruppe als Sicherheitsprinzipal identifiziert eine Gruppe von Benutzer, die in Microsoft Entra ID erstellt wurden. Alle Rollen oder Berechtigungen, die der Gruppe zugewiesen sind, werden allen Benutzern innerhalb der Gruppe gewährt.

• Ein Dienstprinzipal ist ein Sicherheitsprinzipaltyp , der eine Anwendung oder einen Dienst identifiziert, d. h. einen Codeteil anstelle eines Benutzers oder einer Gruppe. Die Objekt-ID eines Dienstprinzipals verhält sich wie sein Benutzername; Der geheime Clientschlüssel des Dienstprinzipals verhält sich wie sein Kennwort.

Für Anwendungen gibt es zwei Möglichkeiten, einen Dienstprinzipal abzurufen:

• Empfohlen: Aktivieren einer vom System zugewiesenen verwalteten Identität für die Anwendung.

  Mit verwalteter Identität verwaltet Azure intern den Dienstprinzipal der Anwendung und authentifiziert die Anwendung automatisch mit anderen Azure-Diensten. Die verwaltete Identität ist für Anwendungen verfügbar, die für eine Vielzahl von Diensten bereitgestellt werden.

  Weitere Informationen finden Sie in der Übersicht über verwaltete Identitäten. Siehe auch Azure-Dienste, die verwaltete Identität unterstützen, die Links zu Artikeln, in denen beschrieben wird, wie verwaltete Identität für bestimmte Dienste aktiviert wird (z. B. App Service, Azure Functions, virtuelle Computer usw.).

• Wenn Sie keine verwaltete Identität verwenden können, registrieren Sie die Anwendung stattdessen bei Ihrem Microsoft Entra-Mandanten, wie in der Schnellstartanleitung beschrieben: Registrieren einer Anwendung bei der Azure Identity Platform. Durch die Registrierung wird auch ein zweites Anwendungsobjekt erstellt, das die App für alle Mandanten identifiziert.

Konfigurieren der Key Vault-Firewall

Standardmäßig ermöglicht Key Vault den Zugriff auf Ressourcen über öffentliche IP-Adressen. Der höheren Sicherheit willen können Sie auch den Zugriff auf bestimmte IP-Adressbereiche, Dienstendpunkte, virtuelle Netzwerke oder private Endpunkte einschränken.

Weitere Informationen finden Sie unter Zugreifen auf Azure Key Vault hinter einer Firewall.

Ablauf des Key Vault-Anforderungsvorgangs mit Authentifizierung

Die Key Vault-Authentifizierung erfolgt bei jeder Anfrageoperation auf Key Vault. Das abgerufene Token kann bei nachfolgenden Aufrufen wiederverwendet werden. Exemplarischer Ablauf der Authentifizierung:

1. Ein Token fordert die Authentifizierung bei Microsoft Entra ID an, zum Beispiel:

   • Eine Azure-Ressource (beispielsweise ein virtueller Computer oder eine App Service-Anwendung mit einer verwalteten Identität) kontaktiert den REST-Endpunkt, um ein Zugriffstoken abzurufen.
   • Ein Benutzer meldet sich beim Azure-Portal mit einem Benutzernamen und einem Kennwort an.

2. Wenn die Authentifizierung bei Microsoft Entra ID erfolgreich ist, wird dem Sicherheitsprinzipal ein OAuth-Token gewährt.

3. Die Key Vault-REST-API wird über den Endpunkt (URI) der Key Vault-Instanz aufgerufen.

4. Die Key Vault-Firewall überprüft die folgenden Kriterien. Wenn ein Kriterium erfüllt ist, ist der Aufruf zulässig. Andernfalls wird der Aufruf blockiert, und eine unzulässige Antwort wird zurückgegeben.

   • Die Firewall ist deaktiviert, und der öffentliche Endpunkt von Key Vault ist über das öffentliche Internet erreichbar.
   • Bei der aufrufenden Funktion handelt es sich um einen vertrauenswürdigen Key Vault-Dienst, der die Firewall umgehen darf.
   • Die aufrufende Funktion ist in der Firewall nach IP-Adresse, virtuellem Netzwerk oder Dienstendpunkt aufgelistet.
   • Der Anrufer kann Key Vault über eine konfigurierte private Link-Verbindung erreichen.

5. Wird der Aufruf durch die Firewall zugelassen, ruft Key Vault Microsoft Entra ID auf, um das Zugriffstoken des Sicherheitsprinzipals zu überprüfen.

6. Von Key Vault wird überprüft, ob der Sicherheitsprinzipal über die erforderliche Berechtigung für den angeforderten Vorgang verfügt. Wenn dies nicht der Fall ist, gibt Key Vault eine unzulässige Antwort zurück.

7. Key Vault führt den angeforderten Vorgang aus und gibt das Ergebnis zurück.

Das folgende Diagramm veranschaulicht den Prozess für eine Anwendung, die eine Key Vault-API "Get Secret" aufruft:

Hinweis

Von Key Vault SDK-Clients für Geheimnisse, Zertifikate und Schlüssel wird ein zusätzlicher Aufruf ohne Zugriffstoken an Key Vault gesendet. Dies hat eine 401-Antwort zum Abrufen von Mandanteninformationen zur Folge. Weitere Informationen finden Sie unter Authentifizierung, Anforderungen und Antworten

Authentifizierung bei Key Vault im Anwendungscode

Das Key Vault SDK verwendet die Azure Identity-Clientbibliothek. Dies ermöglicht eine nahtlose, umgebungsübergreifende Authentifizierung bei Key Vault mit dem gleichen Code.

Azure Identity-Clientbibliotheken

.NET	Python	Java	JavaScript
Azure Identity SDK .NET	Azure Identity SDK Python	Azure Identity SDK für Java	Azure Identity SDK-JavaScript-

Weitere Informationen zu bewährten Methoden und Entwicklerbeispielen finden Sie unter Authentifizieren bei Key Vault im Code

Nächste Schritte

• Leitfaden für Key Vault-Entwickler

• Zuweisen einer Key Vault-Zugriffsrichtlinie mithilfe des Azure-Portals

• Zuweisen einer Azure RBAC-Rolle zu Key Vault

• Behandeln von Problemen mit Schlüsseltresor-Zugriffsrichtlinien

• Fehlercodes der Key Vault-REST-API

• Was ist die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC)?