Udostępnij za pośrednictwem


Konfigurowanie uwierzytelniania certyfikatu klienta w usłudze Azure Container Apps

Usługa Azure Container Apps obsługuje uwierzytelnianie certyfikatów klienta (nazywane również wzajemnym protokołem TLS lub mTLS), które umożliwia dostęp do aplikacji kontenera za pośrednictwem uwierzytelniania dwukierunkowego. W tym artykule pokazano, jak skonfigurować autoryzację certyfikatu klienta w usłudze Azure Container Apps.

Gdy certyfikaty klienta są używane, certyfikaty TLS są wymieniane między klientem a aplikacją kontenera w celu uwierzytelniania tożsamości i szyfrowania ruchu. Certyfikaty klienta są często używane w modelach zabezpieczeń "zero zaufania", aby autoryzować dostęp klienta w organizacji.

Możesz na przykład wymagać certyfikatu klienta dla aplikacji kontenera, która zarządza poufnymi danymi.

Usługa Container Apps akceptuje certyfikaty klienta w formacie PKCS12 wystawiane przez zaufany urząd certyfikacji lub z podpisem własnym.

Konfigurowanie autoryzacji certyfikatu klienta

Aby skonfigurować obsługę certyfikatów klienta, ustaw clientCertificateMode właściwość w szablonie aplikacji kontenera.

Właściwość można ustawić na jedną z następujących wartości:

  • require: Certyfikat klienta jest wymagany dla wszystkich żądań do aplikacji kontenera.
  • accept: certyfikat klienta jest opcjonalny. Jeśli certyfikat klienta nie zostanie podany, żądanie jest nadal akceptowane.
  • ignore: Certyfikat klienta jest ignorowany.

Ruch przychodzący przekazuje certyfikat klienta do aplikacji kontenera, jeśli require został ustawiony.accept

Poniższy przykładowy szablon usługi ARM konfiguruje ruch przychodzący, aby wymagać certyfikatu klienta dla wszystkich żądań do aplikacji kontenera.

{ 
  "properties": {
    "configuration": {
      "ingress": {
        "clientCertificateMode": "require"
      }
    }
  }
}

Następne kroki