Temel Kavramlar
Bu makalede Microsoft Azure Doğrulama ile ilgili bazı temel kavramlar tanımlanmaktadır.
JSON Web Belirteci (JWTs)
JSON Web Belirteci (JWT), bir JavaScript Nesne Gösterimi (JSON) nesnesi olarak taraflar arasında bilgileri güvenli bir şekilde iletmek için açık standart bir RFC7519 yöntemidir. Bu bilgiler dijital olarak imzalandığından doğrulanabilir ve güvenilir olabilir. JWT'ler gizli dizi veya ortak/özel anahtar çifti kullanılarak imzalanabilir.
JSON Web Anahtarı (JWK)
JSON Web Anahtarı (JWK), şifreleme anahtarını temsil eden bir JSON veri yapısıdır. Bu belirtim, bir JWK kümesini temsil eden bir JWK Kümesi JSON veri yapısını da tanımlar.
Kanıtlama sağlayıcısı
Kanıtlama sağlayıcısı, Microsoft.Attestation adlı Azure kaynak sağlayıcısına aittir. Kaynak sağlayıcısı, Azure Doğrulama REST sözleşmesi sağlayan ve Azure Resource Manager kullanılarak dağıtılan bir hizmet uç noktasıdır. Her kanıtlama sağlayıcısı belirli, bulunabilir bir ilkeyi kabul eder. Kanıtlama sağlayıcıları, her kanıtlama türü için varsayılan bir ilkeyle oluşturulur (VBS kapanımında varsayılan ilke bulunmadığını unutmayın). SGX için varsayılan ilke hakkında daha fazla ayrıntı için kanıtlama ilkesi örneklerine bakın.
Kanıtlama isteği
Kanıtlama isteği, istemci uygulaması tarafından kanıtlama sağlayıcısına gönderilen serileştirilmiş bir JSON nesnesidir. SGX kapanım için istek nesnesinin iki özelliği vardır:
- "Quote" – "Quote" özelliğinin değeri, kanıtlama teklifinin Base64URL kodlanmış gösterimini içeren bir dizedir.
- "EnclaveHeldData" – "EnclaveHeldData" özelliğinin değeri, Enclave Held Data'nın Base64URL kodlanmış gösterimini içeren bir dizedir.
Azure Doğrulama, sağlanan Enclave Held Data'nın SHA256 karmasının teklifteki reportData alanının ilk 32 baytında ifade edilmesini sağlamak için sağlanan "Alıntıyı" doğrular.
Kanıtlama ilkesi
Kanıtlama ilkesi, kanıtlama kanıtını işlemek için kullanılır ve müşteriler tarafından yapılandırılabilir. Azure Doğrulama temeli, kanıtı oluşturan talepleri işleyen bir ilke altyapısıdır. İlkeler, Azure Doğrulama kanıta dayalı bir kanıtlama belirteci verip vermeyeceğini (veya vermeyeceğini) belirlemek ve böylece Attester'i onaylayıp onaylamayacağını belirlemek için kullanılır. Buna göre, tüm ilkelerin geçirilememesi JWT belirtecinin verilmemesine neden olur.
Kanıtlama sağlayıcısındaki varsayılan ilke gereksinimleri karşılamıyorsa, müşteriler Azure Doğrulama tarafından desteklenen bölgelerin herhangi birinde özel ilkeler oluşturabilir. İlke yönetimi, müşterilere Azure Doğrulama tarafından sağlanan önemli bir özelliktir. İlkeler kanıtlama türüne özgüdür ve kuşatmaları tanımlamak veya çıkış belirtecine talep eklemek ya da çıkış belirtecindeki talepleri değiştirmek için kullanılabilir.
Kanıtlama ilkesi örneklerine bakın.
İlke imzalamanın avantajları
Kanıtlama ilkesi, bir kanıtlama belirtecinin Azure Doğrulama tarafından verildiğini nihai olarak belirleyen ilkedir. İlke ayrıca kanıtlama belirtecinde oluşturulacak talepleri de belirler. Hizmet tarafından değerlendirilen ilkenin yönetici tarafından yazılan ilke olması ve dış varlıklar tarafından değiştirilmemesi veya değiştirilmemesi çok önemlidir.
Güven modeli, ilkeyi tanımlamak ve güncelleştirmek için kanıtlama sağlayıcısının yetkilendirme modelini tanımlar. Biri Microsoft Entra yetkilendirmesini, diğeri de müşteri tarafından yönetilen şifreleme anahtarlarını (yalıtılmış model olarak adlandırılır) temel alan iki model desteklenir. Yalıtılmış model, Azure Doğrulama müşteri tarafından gönderilen ilkenin değiştirilmediğinden emin olmasını sağlar.
Yalıtılmış modelde, yönetici bir dosyada bir dizi güvenilir imzalama X.509 sertifikası belirten bir kanıtlama sağlayıcısı oluşturur. Yönetici daha sonra kanıtlama sağlayıcısına imzalı bir ilke ekleyebilir. Azure Doğrulama, kanıtlama isteğini işlerken, üst bilgideki "jwk" veya "x5c" parametresiyle temsil edilen ortak anahtarı kullanarak ilkenin imzasını doğrular. Azure Doğrulama, istek üst bilgisindeki ortak anahtarın kanıtlama sağlayıcısıyla ilişkili güvenilir imzalama sertifikaları listesinde olup olmadığını doğrular. Bu şekilde, bağlı olan taraf (Azure Doğrulama) bildiği X.509 sertifikaları kullanılarak imzalanan bir ilkeye güvenebilir.
Örnekler için ilke imzalayan sertifika örneklerine bakın.
Kanıtlama belirteci
Azure Doğrulama yanıtı, değeri JWT içeren bir JSON dizesidir. Azure Doğrulama talepleri paketler ve imzalı bir JWT oluşturur. İmzalama işlemi, kanıtlama sağlayıcısının AttestUri öğesiyle eşleşen konu adına sahip otomatik olarak imzalanan bir sertifika kullanılarak gerçekleştirilir.
OpenID Meta Verileri Al API'si, OpenID Connect Bulma protokolü tarafından belirtilen bir OpenID Yapılandırması yanıtı döndürür. API, Azure Doğrulama tarafından kullanılan imzalama sertifikaları hakkındaki meta verileri alır.
Kanıtlama belirtecinin örneklerine bakın.
Bekleyen verilerin şifrelenmesi
Müşteri verilerini korumak için Azure Doğrulama verilerini Azure Depolama'da kalıcı hale gelir. Azure depolama, veriler veri merkezlerine yazıldıkçe bekleyen verilerin şifrelenmesini sağlar ve müşterilerin erişmesi için verilerin şifresini çözer. Bu şifreleme, Microsoft tarafından yönetilen bir şifreleme anahtarı kullanılarak gerçekleşir.
Azure Doğrulama, Azure depolamadaki verileri korumaya ek olarak hizmet VM'lerini şifrelemek için Azure Disk Şifrelemesi (ADE) kullanır. Azure gizli bilgi işlem ortamlarındaki bir kapanımda çalışan Azure Doğrulama için ADE uzantısı şu anda desteklenmiyor. Bu tür senaryolarda verilerin bellek içinde depolanmasını önlemek için sayfa dosyası devre dışı bırakılır.
Azure Doğrulama örneği yerel sabit disk sürücülerinde hiçbir müşteri verisi kalıcı değil.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin