Autenticar-se no Azure Key Vault
A autenticação com o Key Vault funciona com o Microsoft Entra ID, que é responsável por autenticar a identidade de qualquer determinado principal de segurança.
Para aplicativos, há duas maneiras de obter uma entidade de serviço:
Habilite uma identidade gerenciada atribuída pelo sistema para o aplicativo. Com a identidade gerenciada, o Azure gerencia internamente a entidade de serviço do aplicativo e autentica automaticamente o aplicativo com outros serviços do Azure. A identidade gerenciada está disponível para aplicativos implantados em vários serviços.
Se você não puder usar a identidade gerenciada, registre o aplicativo em seu locatário do Microsoft Entra. O registro também cria um segundo objeto de aplicativo que identifica o aplicativo em todos os locatários.
Nota
É recomendável usar uma identidade gerenciada atribuída pelo sistema.
Veja a seguir informações sobre como autenticar no Key Vault sem usar uma identidade gerenciada.
Autenticação no Key Vault no código do aplicativo
O SDK do Key Vault está usando a biblioteca cliente do Azure Identity, que permite a autenticação integrada ao Key Vault em diversos ambientes com o mesmo código. A tabela a seguir fornece informações sobre as bibliotecas de clientes da Identidade do Azure:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| SDK de Identidade do Azure .NET | SDK de Identidade do Azure Python | SDK de Identidade do Azure Java | SDK de Identidade do Azure JavaScript |
Autenticação no Key Vault com REST
Os tokens de acesso devem ser enviados ao serviço usando o cabeçalho de Autorização HTTP:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Quando um token de acesso não é fornecido ou quando um token não é aceito pelo serviço, um erro HTTP 401 é retornado ao cliente e incluirá o cabeçalho WWW-Authenticate, por exemplo:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Os parâmetros no cabeçalho WWW-Authenticate são:
autorização: o endereço do serviço de autorização OAuth2 que pode ser usado para obter um token de acesso para a solicitação.
recurso: o nome do recurso (
https://vault.azure.net) a ser usado na solicitação de autorização.