Проверка подлинности с помощью сертификата клиента
ОБЛАСТЬ ПРИМЕНЕНИЯ: все уровни Управление API
Используйте политику authentication-certificate для аутентификации внутренней службы с помощью сертификата клиента. При установке сертификата в Управление API сначала определите его по отпечатку или идентификатору сертификата (имя ресурса).
Внимание
Свести к минимуму риски воздействия учетных данных при настройке этой политики. Корпорация Майкрософт рекомендует использовать более безопасные методы проверки подлинности, если поддерживается серверной частью, например проверку подлинности управляемых удостоверений или диспетчер учетных данных. Если вы настраиваете конфиденциальную информацию в определениях политик, рекомендуется использовать именованные значения и хранить секреты в Azure Key Vault.
Внимание
Если такой сертификат ссылается на сертификат, хранящийся в Azure Key Vault, идентифицируйте его с помощью идентификатора сертификата. При ротации сертификата хранилища ключей его отпечаток в Управлении API изменится, и политика не будет разрешать новый сертификат, если он определен по отпечатку.
Примечание.
Задайте элементы политики и дочерние элементы в порядке, указанном в правиле политики. Узнайте, как устанавливать или изменять политики службы управления API.
Правило политики
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Атрибуты
| Атрибут | Description | Обязательное поле | По умолчанию. |
|---|---|---|---|
| thumbprint | Отпечаток для сертификата клиента. Допустимы выражения политики. | certificate-id Либо thumbprint может присутствовать. |
Н/П |
| certificate-id | Имя ресурса сертификата. Допустимы выражения политики. | certificate-id Либо thumbprint может присутствовать. |
Н/П |
| текст | Сертификат клиента как массив байтов. Используйте, если сертификат не извлекается из встроенного хранилища сертификатов. Допустимы выражения политики. | No | Н/П |
| password | Пароль для сертификата клиента. Допустимы выражения политики. | Используйте, если сертификат, указанный в body файле, защищен паролем. |
Н/П |
Использование
- Разделы политики: inbound.
- Области политики: глобальная, рабочая область, продукт, API, операция
- Шлюзы: классическая, версия 2, потребление, локальное размещение, рабочая область
Примечания об использовании
- Мы рекомендуем настроить сертификаты хранилища ключей для управления сертификатами , используемыми для защиты доступа к внутренним службам.
- При настройке пароля сертификата в этой политике рекомендуется использовать именованное значение.
Примеры
Сертификат клиента, определяемый идентификатором сертификата
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Сертификат клиента, определяемый отпечатком
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Сертификат клиента, заданный в политике, а не полученный из встроенного хранилища сертификатов
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Связанные политики
Связанный контент
Дополнительные сведения о работе с политиками см. в нижеуказанных статьях.
- Руководство. Преобразование и защита API
- Полный перечень операторов политик и их параметров см. в справочнике по политикам.
- Выражения политики
- Настройка или изменение политик
- Повторное использование конфигураций политик
- Репозиторий фрагментов политик
- Создание политик с помощью Microsoft Copilot в Azure