Kanıtlama ilkesi yazma
Kanıtlama ilkesi, Microsoft Azure Doğrulama'a yüklenen bir dosyadır. Azure Doğrulama, bir ilkeyi kanıtlamaya özgü bir ilke biçiminde karşıya yükleme esnekliği sunar. Alternatif olarak, JSON Web İmzası'nda ilkenin kodlanmış bir sürümü de karşıya yüklenebilir. Kanıtlama ilkesini yazmak ilke yöneticisinin sorumluluğundadır. Çoğu kanıtlama senaryosunda, bağlı olan taraf ilke yöneticisi olarak görev yapar. Kanıtlama çağrısını yapan istemci, hizmetin ayrıştırdığı ve gelen taleplere (özellik kümesi, değer) dönüştürdüğü kanıtlama kanıtı gönderir. Ardından hizmet, ilkede tanımlananları temel alarak talepleri işler ve hesaplanan sonucu döndürür.
İlke yetkilendirme ölçütlerini, özelliklerini ve kanıtlama belirtecinin içeriğini belirleyen kurallar içerir:
version=1.0;
authorizationrules
{
c:[type="secureBootEnabled", issuer=="AttestationService"]=> permit()
};
issuancerules
{
c:[type="secureBootEnabled", issuer=="AttestationService"]=> issue(claim=c)
c:[type="notSafeMode", issuer=="AttestationService"]=> issue(claim=c)
};
İlke dosyasının üç kesimi vardır:
- sürüm: Sürüm, takip edilen dil bilgisinin sürüm numarasıdır.
Şu anda desteklenen tek sürüm 1.0 sürümüdür.version=MajorVersion.MinorVersion - authorizationrules: Azure Doğrulama verme işlemlerine devam etmesi gerekip gerekmediğini belirlemek için önce denetlenen talep kuralları koleksiyonu. Talep kuralları tanımlanma sırasına göre uygulanır.
- verme kuralları: İlkede tanımlandığı gibi kanıtlama sonucuna ek bilgi eklemek için değerlendirilen talep kuralları koleksiyonu. Talep kuralları tanımlanma sırasına göre uygulanır ve isteğe bağlıdır.
Daha fazla bilgi için bkz . Talep ve talep kuralları.
İlke dosyasını taslak oluşturma
- Yeni bir dosya oluşturun.
- Dosyaya sürüm ekleyin.
- Yetkilendirme ve verme işlemleri için bölümler ekleyin.
Yetkilendirme kuralları, verme kurallarının işlenmediğinden emin olmak için herhangi bir koşul olmadan deny() eylemini içerir. Alternatif olarak, yetkilendirme kuralı verme kurallarının işlenmesine izin vermek için permit() eylemi de içerebilir.version=1.0; authorizationrules { =>deny(); }; issuancerules { }; - Yetkilendirme kurallarına talep kuralları ekleme
Gelen talep kümesi tür, değer ve verenle eşleşen bir talep içeriyorsa, permit() eylemi ilke altyapısına verme belgelerini işlemesini söyler.version=1.0; authorizationrules { [type=="secureBootEnabled", value==true, issuer=="AttestationService"]=>permit(); }; issuancerules { }; - Verenlere talep kuralları ekleyin.
Giden talep kümesi aşağıdakilerle bir talep içerir:version=1.0; authorizationrules { [type=="secureBootEnabled", value==true, issuer=="AttestationService"]=>permit(); }; issuancerules { => issue(type="SecurityLevelValue", value=100); };
Karmaşık ilkeler benzer şekilde oluşturulabilir. Daha fazla bilgi için bkz . kanıtlama ilkesi örnekleri.[type="SecurityLevelValue", value=100, valueType="Integer", issuer="AttestationPolicy"] - Dosyayı kaydedin.
İlke dosyasını JSON Web İmzası biçiminde oluşturma
İlke dosyası oluşturduktan sonra, JSON Web İmzası (JWS) biçiminde bir ilke yüklemek için aşağıdaki adımları izleyin.
Yük olarak ilkeyle (utf-8 kodlanmış) RFC7515 JWS'yi oluşturun. Base64Url kodlanmış ilkesinin yük tanımlayıcısı "AttestationPolicy" olmalıdır.
Örnek JWT:
Header: {"alg":"none"} Payload: {"AttestationPolicy":" Base64Url (policy)"} Signature: {} JWS format: eyJhbGciOiJub25lIn0.XXXXXXXXX.İlkeyi imzalayın (isteğe bağlı). Azure Doğrulama aşağıdaki algoritmaları destekler:
- Yok: İlke yükünü imzalamayın.
- RS256: İlke yükünü imzalamak için desteklenen algoritma.
JWS'yi karşıya yükleyin ve ilkeyi doğrulayın.
- İlke dosyasında söz dizimi hatası yoksa, hizmet ilke dosyasını kabul eder.
- İlke dosyasında söz dizimi hataları varsa, hizmet ilke dosyasını reddeder.