Mengautentikasi ke Azure Key Vault
Autentikasi dengan Key Vault berfungsi dengan Azure Active Directory, yang bertanggung jawab untuk mengautentikasi identitas perwakilan keamanan tertentu.
Untuk aplikasi, ada dua cara untuk mendapatkan perwakilan layanan:
Aktifkan identitas terkelola yang ditetapkan sistem untuk aplikasi. Dengan identitas terkelola, Azure secara internal mengelola perwakilan layanan aplikasi dan secara otomatis mengautentikasi aplikasi dengan layanan Azure lainnya. Identitas terkelola tersedia untuk aplikasi yang disebarkan ke berbagai layanan.
Jika Anda tidak dapat menggunakan identitas terkelola, Anda mendaftarkan aplikasi dengan penyewa Azure AD Anda. Pendaftaran juga membuat objek aplikasi kedua yang mengidentifikasi aplikasi di semua penyewa.
Catatan
Disarankan untuk menggunakan identitas terkelola yang ditetapkan sistem.
Berikut ini adalah informasi tentang mengautentikasi ke Key Vault tanpa menggunakan identitas terkelola.
Autentikasi ke Key Vault dalam kode aplikasi
SDK Key Vault menggunakan pustaka klien Azure Identity, yang memungkinkan autentikasi tanpa batas ke Key Vault di seluruh lingkungan dengan kode yang sama. Tabel di bawah ini menyediakan informasi tentang pustaka klien Azure Identity:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Identitas Azure SDK .NET | Identitas Azure SDK Python | Identitas Azure SDK Java | Identitas Azure SDK JavaScript |
Autentikasi ke Key Vault dengan REST
Token akses harus dikirim ke layanan menggunakan header Otorisasi HTTP:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Saat token akses tidak disediakan, atau ketika token tidak diterima oleh layanan, kesalahan HTTP 401 dikembalikan ke klien dan akan menyertakan WWW-Authenticate header , misalnya:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Parameter pada header WWW-Authenticate adalah:
otorisasi: alamat layanan otorisasi OAuth2 yang dapat digunakan untuk mendapatkan token akses untuk permintaan tersebut.
sumber daya: Nama sumber daya (
https://vault.azure.net) yang akan digunakan di permintaan otorisasi.