Proteger serviços de back-end usando a autenticação de certificado do cliente no Gerenciamento de API do Azure
APLICA-SE A: todas as camadas do Gerenciamento de API
O Gerenciamento de API permite proteger o acesso ao serviço de back-end de uma API usando certificados do cliente e autenticação TLS mútua. Este guia mostra como gerenciar certificados na instância do serviço de Gerenciamento de API do Azure no portal do Azure. Também explica como configurar uma API para usar um certificado para acessar um serviço de back-end.
Você também pode gerenciar certificados do Gerenciamento de API usando a API REST do Gerenciamento de API.
Opções de certificado
O Gerenciamento de API fornece duas opções para gerenciar certificados usados para proteger o acesso aos serviços de back-end:
- Referenciar um certificado gerenciado no Azure Key Vault
- Adicionar um arquivo de certificado diretamente no Gerenciamento de API
O uso de certificados do cofre de chaves é recomendado porque ajuda a melhorar a segurança do Gerenciamento de API:
- Os certificados armazenados em cofres de chaves podem ser reutilizados entre os serviços
- É possível aplicar políticas de acesso granular a certificados armazenados em cofres de chaves
- Os certificados atualizados no cofre de chaves são automaticamente girados no Gerenciamento de API. Após a atualização no cofre de chaves, um certificado no Gerenciamento de API é atualizado dentro de 4 horas. Você também pode atualizar manualmente o certificado usando o portal do Azure ou por meio da API REST de gerenciamento.
Pré-requisitos
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Se você ainda não tiver criado uma instância de serviço do Gerenciamento de API, veja Criar uma instância de serviço do Gerenciamento de API.
Você deve ter o serviço de back-end configurado para autenticação de certificado do cliente. Para configurar a autenticação de certificado no Serviço de Aplicativo do Azure, veja este artigo.
Você precisa ter acesso ao certificado e à senha para o gerenciamento em um cofre de chaves do Azure ou fazer upload para o serviço Gerenciamento de API. O certificado deve estar no formato PFX. Os certificados autoassinados são permitidos.
Se você usar um certificado autoassinado:
Instale certificados de AC raiz confiáveis e intermediários na instância de Gerenciamento de API.
Observação
Os certificados de AC para validação de certificado não são compatíveis com o nível Consumo.
Pré-requisitos para a integração do cofre de chaves
Observação
Atualmente, esse recurso não está disponível em workspaces.
Se você ainda não tiver um cofre de chaves, crie um. Para obter as etapas para criar um cofre de chaves, veja Início Rápido: Criar um cofre de chaves usando o portal do Azure.
Para criar ou importar um certificado no cofre de chaves, confira Guia de início rápido: definir e recuperar um certificado do Azure Key Vault usando o portal do Azure.
Habilite uma identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário na instância de Gerenciamento de API.
Configurar o acesso ao Key Vault
No portal, navegue até o cofre de chaves.
No menu à esquerda, selecione Configuração de acesso e anote o Modelo de permissão configurado.
Dependendo do modelo de permissão, configure uma política de acesso do cofre de chaves ou o acesso do RBAC do Azure para uma identidade gerenciada do Gerenciamento de API.
Para adicionar uma política de acesso do cofre de chaves:
- No menu à esquerda, selecione Políticas de acesso.
- Na página Políticas de acesso, selecione + Criar.
- Na guia Permissões, em Permissões em Permissões de segredo, escolha Obter e Listar. Clique em Avançar.
- Na guia Entidade de segurança, Selecionar entidade de segurança, procure o nome do recurso da identidade gerenciada e selecione Avançar. Se você estiver usando uma identidade atribuída pelo sistema, a entidade de segurança será o nome da instância de Gerenciamento de API.
- Selecione novamente Avançar. Na guia Revisar + criar, selecione Criar.
Para configurar o acesso ao RBAC do Azure:
- No menu à esquerda, selecione Controle de acesso (IAM) .
- Na página Controle de acesso (IAM), selecione Adicionar atribuição de função.
- Na guia Função, selecione Usuário do Certificado do Key Vault.
- Na guia Membros, selecione Identidade gerenciada>+ Selecionar membros.
- Na página Selecionar identidade gerenciada, escolha a identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário associada à sua instância do Gerenciamento de API e clique em Selecionar.
- Selecione Examinar + atribuir.
Requisitos para firewall do Key Vault
Se o firewall do Key Vault estiver habilitado no seu cofre de chaves, os itens a seguir serão requisitos adicionais:
Você deve usar a identidade gerenciada atribuída pelo sistema da instância do Gerenciamento de API para acessar o cofre de chaves.
No firewall do Key Vault, habilite a opção Permitir que os serviços confiáveis da Microsoft ignorem esse firewall.
Verifique se o endereço IP do cliente local tem permissão para acessar o cofre de chaves temporariamente enquanto você seleciona um certificado ou segredo a ser adicionado ao Gerenciamento de API do Azure. Para obter mais informações, confira Definir configurações de rede do Azure Key Vault.
Depois de concluir a configuração, você pode bloquear o endereço do cliente no firewall do cofre de chaves.
Requisitos de rede virtual
Se a instância do Gerenciamento de API for implantada em uma rede virtual, defina também as configurações de rede a seguir:
- Habilite um ponto de extremidade de serviço para o Azure Key Vault na sub-rede do Gerenciamento de API.
- Configure uma regra de NSG (grupo de segurança de rede) para permitir tráfego de saída para as marcas de serviço AzureKeyVault e AzureActiveDirectory.
Para obter detalhes, consulte Configuração de rede ao configurar o Gerenciamento de API do Azure em uma VNet.
Adicionar um certificado do cofre de chaves
Veja Pré-requisitos para integração do cofre de chaves.
Importante
Ao adicionar um certificado do cofre de chaves à instância do Gerenciamento de API, você deve ter permissões para listar segredos do cofre de chaves.
Cuidado
Ao usar um certificado do cofre de chaves no Gerenciamento de API, tenha cuidado para não excluir o certificado, o cofre de chaves ou a identidade gerenciada usados para acessar o cofre de chaves.
Para adicionar um certificado do cofre de chaves ao Gerenciamento de API:
No portal do Azure, navegue até a instância do Gerenciamento de API.
Em Segurança, selecione Certificados.
Selecione Certificados>+ Adicionar.
Em ID, insira um nome de sua preferência.
Em Certificado, selecione Cofre de chaves.
Insira o identificador de um certificado do cofre de chaves ou escolha Selecionar para selecionar um certificado de um cofre de chaves.
Importante
Se você mesmo inserir um identificador de certificado do cofre de chaves, verifique se ele não tem informações de versão. Caso contrário, o certificado não será girado automaticamente no Gerenciamento de API após uma atualização no cofre de chaves.
Em Identidade do cliente, selecione uma identidade gerenciada atribuída pelo sistema ou uma existente atribuída pelo usuário. Saiba como adicionar ou modificar identidades gerenciadas no serviço de Gerenciamento de API.
Observação
A identidade precisa de permissões para obter e listar o certificado do cofre de chaves. Se você ainda não tiver configurado o acesso ao cofre de chaves, o Gerenciamento de API perguntará se ele pode configurar automaticamente a identidade com as permissões necessárias.
Selecione Adicionar.
Selecione Salvar.
Carregar um certificado
Para carregar um certificado do cliente no Gerenciamento de API:
No portal do Azure, navegue até a instância do Gerenciamento de API.
Em Segurança, selecione Certificados.
Selecione Certificados>+ Adicionar.
Em ID, insira um nome de sua preferência.
Em Certificado, selecione Personalizado.
Navegue para selecionar o arquivo de certificado .pfx e digite sua senha.
Selecione Adicionar.
Selecione Salvar.
Depois que o certificado for carregado, ele será exibido na janela Certificados. Se você tiver muitos certificados, anote a impressão digital do certificado desejado para poder configurar uma API para usar um certificado do cliente para a autenticação de gateway.
Configurar uma API para usar um certificado do cliente para a autenticação de gateway
No portal do Azure, navegue até a instância do Gerenciamento de API.
Em APIs, selecione APIs.
Selecione uma API na lista.
Na guia Design, selecione o ícone do editor na seção Back-end.
Em Credenciais do gateway, selecione Certificado do cliente e selecione o certificado na lista suspensa.
Selecione Salvar.
Cuidado
Essa alteração tem efeito imediato e indica que as operações dessa API usarão o certificado para autenticar no servidor de back-end.
Dica
Quando um certificado é especificado para autenticação de gateway para o serviço de back-end de uma API, ele se torna parte da política dessa API e pode ser exibido no editor da política.
Desabilitar a validação da cadeia de certificados para certificados autoassinados
Se você estiver usando certificados autoassinados, será necessário desabilitar a validação da cadeia de certificados para que o Gerenciamento de API comunique-se com o sistema de back-end. Caso contrário, retornará um código de erro 500. Para configurar isso, você pode usar os Cmdlets do PowerShell New-AzApiManagementBackend
(para o novo back-end) ou Set-AzApiManagementBackend
(para o back-end existente) e definir o parâmetro -SkipCertificateChainValidation
como True
.
$context = New-AzApiManagementContext -resourcegroup 'ContosoResourceGroup' -servicename 'ContosoAPIMService'
New-AzApiManagementBackend -Context $context -Url 'https://contoso.com/myapi' -Protocol http -SkipCertificateChainValidation $true
Você também pode desabilitar a validação da cadeia de certificados usando a API REST de back-end.
Excluir um certificado do cliente
Para excluir um certificado, selecione-o e, em seguida, selecione Excluir no menu de contexto ( ... ).
Importante
Se o certificado estiver referenciado por políticas, será exibida uma tela de aviso. Para excluir o certificado, primeiro é preciso remover o certificado de todas as políticas que estejam configuradas para usá-lo.