Autenticazione con certificato client
SI APPLICA A: Tutti i livelli di Gestione API
Usare il criterio authentication-certificate per eseguire l'autenticazione con un servizio di back-end tramite il certificato client. Quando il certificato viene installato in Gestione API, identificarlo prima con l'identificazione personale o l'ID certificato (nome della risorsa).
Attenzione
Ridurre al minimo i rischi di esposizione delle credenziali durante la configurazione di questo criterio. Microsoft consiglia di usare metodi di autenticazione più sicuri se supportati dal back-end, ad esempio Autenticazione identità gestita o Gestione credenziali. Se si configurano informazioni sensibili nelle definizioni dei criteri, è consigliabile usare valori denominati e archiviare i segreti in Azure Key Vault.
Attenzione
Se il certificato fa riferimento a un certificato archiviato in Azure Key Vault, identificarlo usando l'ID certificato. Quando un certificato dell'insieme di credenziali delle chiavi viene ruotato, l'identificazione personale in Gestione API cambierà e i criteri non risolveranno il nuovo certificato se è identificato dall'identificazione personale.
Nota
Impostare gli elementi e gli elementi figlio del criterio nell'ordine specificato nell'istruzione del criterio. Altre informazioni su come impostare o modificare i criteri di API Management.
Istruzione del criterio
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Attributi
| Attributo | Descrizione | Richiesto | Valore predefinito |
|---|---|---|---|
| thumbprint | Identificazione personale del certificato client. Le espressioni di criteri sono consentite. | Possono essere presenti thumbprint o certificate-id. |
N/D |
| certificate-id | Nome della risorsa del certificato. Le espressioni di criteri sono consentite. | Possono essere presenti thumbprint o certificate-id. |
N/D |
| corpo | Certificato client come matrice di byte. Usare se il certificato non viene recuperato dall'archivio certificati predefinito. Le espressioni di criteri sono consentite. | No | N/D |
| password | Password per il certificato client. Le espressioni di criteri sono consentite. | Usare se il certificato specificato in body è protetto da password. |
N/D |
Utilizzo
- Sezioni del criterio: inbound
- Ambiti del criterio: globale, area di lavoro, prodotto, API, operazione
- Gateway: classico, v2, consumo, self-hosted, area di lavoro
Note sull'utilizzo
- È consigliabile configurare i certificati dell'insieme di credenziali delle chiavi per gestire i certificati usati per proteggere l'accesso ai servizi back-end.
- Se si configura una password del certificato in questo criterio, è consigliabile usare un valore denominato.
Esempi
Certificato client identificato dall'ID certificato
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Certificato client identificato dall'identificazione personale
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Certificato client impostato nei criteri anziché recuperato dall'archivio certificati predefinito
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Criteri correlati
Contenuto correlato
Per ulteriori informazioni sull'utilizzo dei criteri, vedere:
- Esercitazione: trasformare e proteggere l'API
- Informazioni di riferimento sui criteri per un elenco completo delle istruzioni dei criteri e delle relative impostazioni
- Espressioni di criteri
- Impostare o modificare criteri
- Riutilizzare le configurazioni dei criteri
- Repository dei frammenti di criteri
- Creare criteri usando Microsoft Copilot in Azure