Configuración de la autenticación de certificado de cliente en Azure Container Apps

Azure Container Apps admite la autenticación de certificados de cliente (también conocida como TLS mutuo o mTLS), que permite el acceso a la aplicación contenedora a través de la autenticación bidireccional. En este artículo, se muestra cómo configurar la autorización de certificados de cliente en Azure Container Apps.

Cuando se usan certificados de cliente, los certificados de TLS se intercambian entre el cliente y la aplicación contenedora para autenticar la identidad y cifrar el tráfico. Los certificados de cliente se suelen usar en modelos de seguridad de "confianza cero" para autorizar el acceso de cliente dentro de una organización.

Por ejemplo, es posible que quiera requerir un certificado de cliente para una aplicación contenedora que administra datos confidenciales.

Container Apps acepta certificados de cliente en el formato PKCS12 que emite una entidad de certificación (CA) de confianza o que están autofirmados.

Configuración de la autorización de certificados de cliente

Para configurar la compatibilidad con certificados de cliente, establezca la propiedad clientCertificateMode en la plantilla de aplicación contenedora.

La propiedad puede establecerse con uno de los siguientes valores:

• require: el certificado de cliente es necesario para todas las solicitudes a la aplicación contenedora.
• accept: el certificado de cliente es opcional. Si no se proporciona el certificado de cliente, la solicitud todavía se acepta.
• ignore: se omite el certificado de cliente.

La entrada pasa el certificado de cliente a la aplicación contenedora si se establecen require o accept.

En el siguiente ejemplo de plantilla de ARM se configura la entrada para requerir un certificado de cliente para todas las solicitudes a la aplicación contenedora.

{ 
  "properties": {
    "configuration": {
      "ingress": {
        "clientCertificateMode": "require"
      }
    }
  }
}

Pasos siguientes

Configuración de entrada