Authentifizieren bei Azure Key Vault
Die Key Vault-Authentifizierung wird mit Microsoft Entra ID genutzt, um die Authentifizierung der Identität eines Sicherheitsprinzipals zu ermöglichen.
Für Anwendungen gibt es zwei Möglichkeiten, einen Dienstprinzipal abzurufen:
Aktivieren Sie eine systemseitig zugewiesene verwaltete Identität für die Anwendung. Mit der verwalteten Identität verwaltet Azure intern den Dienstprinzipal der Anwendung und authentifiziert die Anwendung automatisch mit anderen Azure-Diensten. Die verwaltete Identität ist für Anwendungen verfügbar, die für verschiedene Dienste bereitgestellt werden.
Falls Sie die verwaltete Identität nicht verwenden können, registrieren Sie die Anwendung stattdessen bei Ihrem Microsoft Entra-Mandanten. Bei der Registrierung wird auch ein zweites Anwendungsobjekt erstellt, das die App für alle Mandanten identifiziert.
Hinweis
Wir empfehlen Ihnen, eine systemseitig zugewiesene verwaltete Identität zu verwenden.
Im Folgenden wird beschrieben, wie Sie die Authentifizierung bei Key Vault ohne eine verwaltete Identität durchführen.
Authentifizierung bei Key Vault in Anwendungscode
Vom Key Vault SDK wird die Azure Identity-Clientbibliothek verwendet, die eine nahtlose Authentifizierung bei Key Vault für verschiedene Umgebungen mit demselben Code ermöglicht. Die folgende Tabelle enthält Informationen zu den Azure Identity-Clientbibliotheken:
.NET | Python | Java | JavaScript |
---|---|---|---|
Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Authentifizierung bei Key Vault mit REST
Zugriffstoken müssen mithilfe des HTTP-Autorisierungsheaders an den Dienst gesendet werden:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Wenn kein Zugriffstoken angegeben ist oder vom Dienst nicht akzeptiert wird, wird ein HTTP 401
-Fehler mit dem WWW-Authenticate
-Header an den Client zurückgegeben. Beispiel:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Die Parameter im Header WWW-Authenticate
lauten:
authorization: Die Adresse des OAuth2-Autorisierungsdiensts, die zum Abrufen eines Zugriffstokens für die Anforderung verwendet werden kann.
resource: Der Name der in der Autorisierungsanforderung zu verwendenden Ressource (
https://vault.azure.net
).