Verifiëren met clientcertificaat
VAN TOEPASSING OP: Alle API Management-lagen
Gebruik het authentication-certificate beleid om te verifiëren met een back-endservice met behulp van een clientcertificaat. Wanneer het certificaat eerst in API Management is geïnstalleerd, identificeert u het eerst met de vingerafdruk of certificaat-id (resourcenaam).
Let op
Minimaliseer de risico's van referentieblootstelling bij het configureren van dit beleid. Microsoft raadt u aan veiligere verificatiemethoden te gebruiken als deze worden ondersteund door uw back-end, zoals verificatie van beheerde identiteit of referentiebeheer. Als u gevoelige informatie configureert in beleidsdefinities, raden we u aan benoemde waarden te gebruiken en geheimen op te slaan in Azure Key Vault.
Let op
Als het certificaat verwijst naar een certificaat dat is opgeslagen in Azure Key Vault, identificeert u het met behulp van de certificaat-id. Wanneer een sleutelkluiscertificaat wordt geroteerd, wordt de vingerafdruk in API Management gewijzigd en wordt het nieuwe certificaat niet omgezet als het wordt geïdentificeerd met vingerafdruk.
Notitie
Stel de elementen en onderliggende elementen van het beleid in de volgorde in die in de beleidsverklaring is opgegeven. Meer informatie over het instellen of bewerken van API Management-beleid.
Beleidsinstructie
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Kenmerken
| Kenmerk | Beschrijving | Vereist | Standaardinstelling |
|---|---|---|---|
| Vingerafdruk | De vingerafdruk voor het clientcertificaat. Beleidsexpressies zijn toegestaan. | certificate-id Of thumbprint kan aanwezig zijn. |
N.v.t. |
| certificaat-id | De naam van de certificaatresource. Beleidsexpressies zijn toegestaan. | certificate-id Of thumbprint kan aanwezig zijn. |
N.v.t. |
| hoofdtekst | Clientcertificaat als bytematrix. Gebruik dit certificaat als het certificaat niet wordt opgehaald uit het ingebouwde certificaatarchief. Beleidsexpressies zijn toegestaan. | Nee | N.v.t. |
| password | Wachtwoord voor het clientcertificaat. Beleidsexpressies zijn toegestaan. | Gebruik het certificaat dat is opgegeven in body is beveiligd met een wachtwoord. |
N.v.t. |
Gebruik
- Beleidssecties: inkomend
- Beleidsbereik: globaal, werkruimte, product, API, bewerking
- Gateways: klassiek, v2, verbruik, zelf-hostend, werkruimte
Gebruiksnotities
- U wordt aangeraden key vault-certificaten te configureren voor het beheren van certificaten die worden gebruikt om de toegang tot back-endservices te beveiligen.
- Als u een certificaatwachtwoord in dit beleid configureert, wordt u aangeraden een benoemde waarde te gebruiken.
Voorbeelden
Clientcertificaat geïdentificeerd door de certificaat-id
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Clientcertificaat geïdentificeerd door vingerafdruk
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Clientcertificaat ingesteld in het beleid in plaats van opgehaald uit het ingebouwde certificaatarchief
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Gerelateerd beleid
Gerelateerde inhoud
Zie voor meer informatie over het werken met beleid:
- Zelfstudie: Uw API transformeren en beveiligen
- Beleidsreferentie voor een volledige lijst met beleidsinstructies en hun instellingen
- Beleidsexpressies
- Beleid instellen of bewerken
- Beleidsconfiguraties opnieuw gebruiken
- Beleidsfragmentenopslagplaats
- Beleid ontwerpen met Behulp van Microsoft Copilot in Azure