Authenticate with client certificate
APLICA-SE A: Todas as camadas de gerenciamento de API
Use a authentication-certificate política para autenticar com um serviço de back-end usando um certificado de cliente. Quando o certificado for instalado no Gerenciamento de API primeiro, identifique-o primeiro por sua impressão digital ou ID do certificado (resourcename).
Atenção
Minimize os riscos de exposição de credenciais ao configurar esta política. A Microsoft recomenda que você use métodos de autenticação mais seguros se suportados pelo back-end, como autenticação de identidade gerenciada ou gerenciador de credenciais. Se você configurar informações confidenciais em definições de política, recomendamos usar valores nomeados e armazenar segredos no Cofre de Chaves do Azure.
Atenção
Se o certificado fizer referência a um certificado armazenado no Cofre da Chave do Azure, identifique-o usando a ID do certificado. Quando um certificado de cofre de chaves é girado, sua impressão digital no Gerenciamento de API será alterada e a política não resolverá o novo certificado se ele for identificado por impressão digital.
Nota
Defina os elementos da política e os elementos filho na ordem fornecida na declaração de política. Saiba mais sobre como definir ou editar políticas de Gerenciamento de API.
Declaração de política
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Atributos
| Atributo | Description | Necessário | Predefinição |
|---|---|---|---|
| impressão digital | A impressão digital para o certificado do cliente. São permitidas expressões de política. | Ou thumbprint certificate-id pode estar presente. |
N/A |
| ID do certificado | O nome do recurso de certificado. São permitidas expressões de política. | Ou thumbprint certificate-id pode estar presente. |
N/A |
| corpo | Certificado de cliente como uma matriz de bytes. Use se o certificado não for recuperado do armazenamento de certificados interno. São permitidas expressões de política. | No | N/A |
| password | Senha para o certificado do cliente. São permitidas expressões de política. | Use se o certificado especificado em estiver protegido por body senha. |
N/A |
Utilização
- Secções políticas: entrada
- Âmbitos de política: global, área de trabalho, produto, API, operação
- Gateways: clássico, v2, consumo, auto-hospedado, espaço de trabalho
Notas de utilização
- Recomendamos configurar certificados de cofre de chaves para gerenciar certificados usados para proteger o acesso aos serviços de back-end.
- Se você configurar uma senha de certificado nesta política, recomendamos o uso de um valor nomeado.
Exemplos
Certificado de cliente identificado pelo ID do certificado
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Certificado de cliente identificado por impressão digital
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Certificado de cliente definido na política em vez de recuperado do armazenamento de certificados interno
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Políticas relacionadas
Conteúdos relacionados
Para obter mais informações sobre como trabalhar com políticas, consulte:
- Tutorial: Transforme e proteja sua API
- Referência de política para uma lista completa de declarações de política e suas configurações
- Expressões de política
- Definir ou editar políticas
- Reutilizar configurações de política
- Recompra de trechos de política
- Criar políticas usando o Microsoft Copilot no Azure