Verificatiegeheimen beveiligen in Azure Key Vault

  • Artikel

Bij het configureren van aangepaste verificatieproviders wilt u mogelijk verbindingsgeheimen opslaan in Azure Key Vault. In dit artikel wordt gedemonstreert hoe u een beheerde identiteit gebruikt om Azure Static Web Apps toegang te verlenen tot Key Vault voor aangepaste verificatiegeheimen.

Notitie

Azure Serverless Functions biedt geen ondersteuning voor directe Key Vault-integratie. Als u Key Vault-integratie met uw beheerde functie-app nodig hebt, moet u Key Vault-toegang implementeren in de code van uw app.

Beveiligingsgeheimen vereisen dat de volgende items aanwezig zijn.

  • Maak een door het systeem toegewezen identiteit in het Static Web Apps-exemplaar.
  • Verdeel de identiteit toegang tot een Key Vault-geheim.
  • Verwijs naar het Key Vault-geheim in de instellingen van de Static Web Apps-toepassing.

In dit artikel wordt beschreven hoe u elk van deze items in productie kunt instellen voor bring your own functions-toepassingen.

Key Vault-integratie is niet beschikbaar voor:

Notitie

Het gebruik van beheerde identiteit is alleen beschikbaar in het Azure Static Web Apps Standard-abonnement.

Vereisten

  • Bestaande Azure Static Web Apps-site met bring your own functions.
  • Bestaande Key Vault-resource met een geheime waarde.

Identiteit maken

  1. Open uw Static Web Apps-site in Azure Portal.

  2. Selecteer Identiteit onder Instellingen menu.

  3. Selecteer het tabblad Systeem toegewezen .

  4. Selecteer Aan onder het label Status.

  5. Selecteer Opslaan.

    Add system-assigned identity

  6. Wanneer het bevestigingsvenster wordt weergegeven, selecteert u Ja.

    Confirm identity assignment.

U kunt nu een toegangsbeleid toevoegen zodat uw statische web-app Key Vault-geheimen kan lezen.

Een Key Vault-toegangsbeleid toevoegen

  1. Open uw Key Vault-resource in Azure Portal.

  2. Selecteer Toegangsbeleid in het menu Instellingen.

  3. Selecteer de koppeling, Toegangsbeleid toevoegen.

  4. Selecteer Ophalen in de vervolgkeuzelijst Geheime machtigingen.

  5. Selecteer naast het label Principal selecteren de geselecteerde koppeling Geen.

  6. Zoek in het zoekvak naar de naam van uw Static Web Apps-toepassing.

  7. Selecteer een lijstitem dat overeenkomt met de naam van uw toepassing.

  8. Selecteer Selecteren.

  9. Selecteer Toevoegen.

  10. Selecteer Opslaan.

    Save Key Vault access policy

Het toegangsbeleid wordt nu opgeslagen in Key Vault. Open vervolgens de URI van het geheim om te gebruiken bij het koppelen van uw statische web-app aan de Key Vault-resource.

  1. Selecteer Geheimen in het menu Instellingen.

  2. Selecteer het gewenste geheim in de lijst.

  3. Selecteer de gewenste geheime versie in de lijst.

  4. Selecteer Kopiëren aan het einde van het tekstvak Geheime id om de geheime URI-waarde naar het klembord te kopiëren.

  5. Plak deze waarde in een teksteditor voor later gebruik.

Toepassingsinstelling toevoegen

  1. Open uw Static Web Apps-site in Azure Portal.

  2. Selecteer Configuratie in het menu Instellingen.

  3. Selecteer Toevoegen in de sectie Toepassingsinstellingen.

  4. Voer een naam in het tekstvak voor het veld Naam in.

  5. Bepaal de geheime waarde in het tekstvak voor het veld Waarde .

    De geheime waarde is een combinatie van enkele verschillende waarden. In de volgende sjabloon ziet u hoe de uiteindelijke tekenreeks wordt gebouwd.

    @Microsoft.KeyVault(SecretUri=<YOUR-KEY-VAULT-SECRET-URI>)

    Een uiteindelijke tekenreeks ziet er bijvoorbeeld uit zoals in het volgende voorbeeld:

    @Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/mysecret/)

    U kunt ook het volgende doen:

    @Microsoft.KeyVault(VaultName=myvault;SecretName=mysecret)

    Gebruik de volgende stappen om de volledige geheime waarde te bouwen.

  6. Kopieer de sjabloon van hierboven en plak deze in een teksteditor.

  7. Vervang <YOUR-KEY-VAULT-SECRET-URI> door de sleutelkluis-URI-waarde die u eerder hebt gereserveerd.

  8. Kopieer de nieuwe volledige tekenreekswaarde.

  9. Plak de waarde in het tekstvak voor het veld Waarde .

  10. Selecteer OK.

  11. Selecteer Opslaan boven aan de werkbalk Toepassingsinstellingen .

    Save application settings

Wanneer uw aangepaste verificatieconfiguratie nu verwijst naar de zojuist gemaakte toepassingsinstelling, wordt de waarde geëxtraheerd uit Azure Key Vault met behulp van de identiteit van uw statische web-app.

Volgende stappen

Aangepaste verificatie