Authentifizieren bei Azure Key Vault

Abgeschlossen

Für die Authentifizierung bei Key Vault wird zusätzlich Azure Active Directory genutzt, um die Authentifizierung der Identität der vorhandenen Sicherheitsprinzipale zu ermöglichen.

Für Anwendungen gibt es zwei Möglichkeiten, einen Dienstprinzipal abzurufen:

  • Aktivieren Sie eine systemseitig zugewiesene verwaltete Identität für die Anwendung. Mit der verwalteten Identität verwaltet Azure intern den Dienstprinzipal der Anwendung und authentifiziert die Anwendung automatisch mit anderen Azure-Diensten. Die verwaltete Identität ist für Anwendungen verfügbar, die für eine Vielzahl von Diensten bereitgestellt werden.

  • Falls Sie die verwaltete Identität nicht verwenden können, registrieren Sie die Anwendung stattdessen bei Ihrem Azure AD-Mandanten. Bei der Registrierung wird auch ein zweites Anwendungsobjekt erstellt, das die App für alle Mandanten identifiziert.

Hinweis

Wir empfehlen Ihnen, eine systemseitig zugewiesene verwaltete Identität zu verwenden.

Im Folgenden ist beschrieben, wie Sie die Authentifizierung bei Key Vault ohne verwaltete Identität durchführen.

Authentifizierung bei Key Vault in Anwendungscode

Vom Key Vault SDK wird die Azure Identity-Clientbibliothek verwendet, die eine nahtlose Authentifizierung bei Key Vault für verschiedene Umgebungen mit demselben Code ermöglicht. Die folgende Tabelle enthält Informationen zu den Azure Identity-Clientbibliotheken:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK Java Azure Identity SDK JavaScript

Authentifizierung bei Key Vault mit REST

Zugriffstoken müssen mithilfe des HTTP-Autorisierungsheaders an den Dienst gesendet werden:

PUT /keys/MYKEY?api-version=<api_version>  HTTP/1.1  
Authorization: Bearer <access_token>

Wenn kein Zugriffstoken angegeben oder ein Token vom Dienst nicht akzeptiert wird, wird ein HTTP 401-Fehler an den Client zurückgegeben, der den Header WWW-Authenticate enthält. Beispiel:

401 Not Authorized  
WWW-Authenticate: Bearer authorization="…", resource="…"

Die Parameter im Header WWW-Authenticate lauten:

  • authorization: Die Adresse des OAuth2-Autorisierungsdiensts, die zum Abrufen eines Zugriffstokens für die Anforderung verwendet werden kann.

  • resource: Der Name der in der Autorisierungsanforderung zu verwendenden Ressource (https://vault.azure.net).

Zusätzliche Ressourcen