Bagikan melalui


Sumber daya dan peran Penandatanganan Tepercaya

Penandatanganan Tepercaya adalah sumber daya asli Azure yang menawarkan dukungan penuh untuk konsep Azure umum, seperti sumber daya. Seperti sumber daya Azure lainnya, Penandatanganan Tepercaya memiliki sekumpulan sumber daya dan perannya sendiri yang dirancang untuk menyederhanakan manajemen layanan.

Artikel ini memperkenalkan Anda ke sumber daya dan peran yang khusus untuk Penandatanganan Tepercaya.

Jenis sumber daya Penandatanganan Tepercaya

Penandatanganan Tepercaya memiliki jenis sumber daya berikut:

  • Akun Penandatanganan Tepercaya: Akun adalah kontainer logis dari semua sumber daya yang Anda butuhkan untuk menyelesaikan penandatanganan dan mengelola kontrol akses ke sumber daya sensitif.

  • Validasi identitas: Validasi identitas melakukan verifikasi organisasi atau identitas individual Anda sebelum Anda dapat menandatangani kode. Organisasi terverifikasi atau identitas individu adalah sumber atribut untuk profil sertifikat Anda nilai Subject Distinguished Name (subject DN) (misalnya, CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Peran validasi identitas ditetapkan ke identitas penyewa untuk membuat sumber daya ini.

  • Profil sertifikat: Profil sertifikat adalah atribut konfigurasi yang menghasilkan sertifikat yang Anda gunakan untuk menandatangani kode. Ini juga mendefinisikan model kepercayaan dan skenario bahwa konten yang ditandatangani digunakan oleh pihak yang mengandalkan. Peran penandatanganan ditetapkan ke sumber daya ini untuk mengotorisasi identitas penyewa untuk meminta penandatanganan. Prasyarat untuk membuat profil sertifikat apa pun adalah menyelesaikan setidaknya satu permintaan validasi identitas.

Dalam contoh struktur berikut, langganan Azure memiliki grup sumber daya. Di bawah grup sumber daya, Anda dapat memiliki satu atau banyak sumber daya akun Penandatanganan Tepercaya dengan satu atau banyak validasi identitas dan profil sertifikat.

Diagram yang memperlihatkan grup sumber daya layanan Penandatanganan Tepercaya dan struktur profil sertifikat.

Layanan ini mendukung kebijakan Kepercayaan Publik, Kepercayaan Privat, integritas kode (CI), enklave keamanan berbasis virtualisasi (VBS), dan jenis penandatanganan pengujian Kepercayaan Publik, sehingga berguna untuk memiliki beberapa akun Penandatanganan Tepercaya dan profil sertifikat. Untuk informasi selengkapnya tentang jenis profil sertifikat dan cara penggunaannya, lihat Jenis dan manajemen sertifikat Penandatanganan Tepercaya.

Catatan

Validasi identitas dan profil sertifikat selaras dengan Kepercayaan Publik atau Kepercayaan Privat. Validasi identitas Kepercayaan Publik hanya digunakan untuk profil sertifikat yang digunakan untuk model Kepercayaan Publik. Untuk informasi selengkapnya, lihat Model kepercayaan Penandatanganan Tepercaya.

Akun Penandatanganan Tepercaya

Akun Penandatanganan Tepercaya adalah kontainer logis sumber daya yang digunakan untuk menyelesaikan penandatanganan sertifikat. Akun Penandatanganan Tepercaya dapat digunakan untuk menentukan batas proyek atau organisasi. Untuk sebagian besar, satu akun Penandatanganan Tepercaya dapat memenuhi semua kebutuhan penandatanganan untuk individu atau organisasi. Anda mungkin ingin menandatangani banyak artefak yang didistribusikan oleh identitas yang sama (misalnya, Contoso News, LLC), tetapi secara operasional, mungkin ada batasan yang ingin Anda gambar dalam hal akses ke penandatanganan. Anda dapat memilih untuk memiliki akun Penandatanganan Tepercaya per produk atau per tim untuk mengisolasi cara akun digunakan atau melacak penandatanganan. Namun, Anda juga dapat mencapai pola isolasi ini di tingkat profil sertifikat.

Validasi identitas

Validasi identitas adalah tentang menetapkan identitas pada sertifikat yang digunakan untuk penandatanganan. Ada dua jenis: Kepercayaan Publik dan Kepercayaan Privat. Apa yang mendefinisikan dua jenis adalah tingkat validasi identitas yang diperlukan untuk menyelesaikan pembuatan sumber daya validasi identitas.

  • Kepercayaan Publik berarti bahwa semua nilai identitas harus divalidasi sesuai dengan Pernyataan Praktik Sertifikasi Pihak Ketiga (CPS) Microsoft PKI Services. Persyaratan ini selaras dengan harapan untuk sertifikat penandatanganan kode tepercaya publik.

  • Kepercayaan Privat ditujukan untuk situasi di mana ada kepercayaan yang mapan pada identitas privat di satu atau banyak pihak yang mengandalkan (konsumen tanda tangan) atau secara internal dalam skenario kontrol aplikasi atau lini bisnis (LOB). Dengan validasi identitas Private Trust, ada verifikasi minimal atribut identitas (misalnya, nilai ).Organization Unit Verifikasi dikaitkan erat dengan Penyewa Azure pelanggan (misalnya, Costoso.onmicrosoft.com). Nilai dalam profil sertifikat Kepercayaan Privat tidak divalidasi di luar informasi Penyewa Azure.

Untuk informasi selengkapnya tentang Kepercayaan Publik dan Kepercayaan Privat, lihat Model kepercayaan Penandatanganan Tepercaya.

Profil sertifikat

Penandatanganan Tepercaya menyediakan lima jenis profil sertifikat total yang dapat digunakan semua pelanggan dengan sumber daya validasi identitas yang selaras dan selesai. Kelima profil sertifikat ini selaras dengan validasi identitas Kepercayaan Publik atau Kepercayaan Privat sebagai berikut:

  • Kepercayaan Publik
    • Kepercayaan Publik: Digunakan untuk menandatangani kode dan artefak yang dapat didistribusikan secara publik. Profil sertifikat ini tepercaya secara default pada platform Windows untuk penandatanganan kode.

    • Enklave VBS: Digunakan untuk menandatangani enklave keamanan berbasis virtualisasi di Windows.

    • Uji Kepercayaan Publik: Digunakan hanya untuk penandatanganan pengujian dan tidak dipercaya secara publik secara default. Pertimbangkan profil sertifikat Uji Kepercayaan Publik sebagai opsi yang bagus untuk penandatanganan build perulangan dalam.

      Catatan

      Semua sertifikat di bawah jenis profil sertifikat Uji Kepercayaan Publik mencakup EKU seumur hidup (1.3.6.1.4.1.311.10.3.13), yang memaksa validasi untuk menghormati masa pakai sertifikat penandatanganan terlepas dari adanya penandatanganan stempel waktu yang valid.

  • Kepercayaan Privat
    • Kepercayaan Privat: Digunakan untuk menandatangani artefak internal atau privat seperti aplikasi dan kontainer LOB. Anda juga dapat menggunakannya untuk menandatangani file katalog di App Control for Business.
    • Kebijakan CI Kepercayaan Privat: Profil sertifikat Kebijakan CI Kepercayaan Privat adalah satu-satunya jenis yang tidak menyertakan EKU penandatanganan kode (1.3.6.1.5.5.7.3.3). Profil sertifikat ini dirancang untuk menandatangani file kebijakan App Control for Business CI.

Peran yang didukung

Kontrol akses berbasis peran (RBAC) adalah konsep landasan untuk semua sumber daya Azure. Penandatanganan Tepercaya menambahkan dua peran kustom untuk memenuhi kebutuhan pelanggan untuk membuat validasi identitas (peran Pemverifikasi Identitas Penandatanganan Tepercaya) dan menandatangani dengan profil sertifikat (peran Penanda tangan Profil Sertifikat Penandatanganan Tepercaya). Peran kustom ini secara eksplisit harus ditetapkan untuk melakukan dua fungsi penting tersebut dalam menggunakan Penandatanganan Tepercaya. Tabel berikut berisi daftar lengkap peran yang didukung Penandatanganan Tepercaya dan kemampuannya, termasuk semua peran Azure standar.

Peran Mengelola dan melihat akun Mengelola profil sertifikat Masuk dengan menggunakan profil sertifikat Lihat riwayat penandatanganan Mengelola penetapan peran Mengelola validasi identitas
Pemverifikasi Identitas Penandatanganan Tepercaya1 X
PenandatanganProfil Sertifikat Penandatanganan Tepercaya 2 X X
Pemilik X X X
Kontributor X X
Pembaca X
Admin Akses Pengguna X

1 Diperlukan untuk membuat atau mengelola validasi identitas. Hanya tersedia di portal Azure.

2 Diperlukan untuk berhasil menandatangani dengan menggunakan Penandatanganan Tepercaya.