Azure Key Vault'de kimlik doğrulaması

Key Vault ile kimlik doğrulaması, belirli bir güvenlik sorumlusunun kimliğini doğrulamakla sorumlu olan Azure Active Directory (Azure AD) ile birlikte çalışır.

Güvenlik sorumlusu, Azure kaynaklarına erişim isteyen bir kullanıcı, grup, hizmet veya uygulamayı temsil eden bir nesnedir. Azure, her güvenlik sorumlusuna benzersiz bir nesne kimliği atar.

  • Kullanıcı güvenlik sorumlusu, Azure Active Directory'de profili olan bir kişiyi tanımlar.

  • Grup güvenlik sorumlusu, Azure Active Directory'de oluşturulan bir kullanıcı kümesini tanımlar. Gruba atanan tüm roller veya izinler, gruptaki tüm kullanıcılara verilir.

  • Hizmet sorumlusu, kullanıcı veya grup yerine bir kod parçası gibi bir uygulama veya hizmeti tanımlayan bir güvenlik sorumlusu türüdür. Hizmet sorumlusu nesne kimliği kullanıcı adı gibi davranır; hizmet sorumlusunun gizli anahtarı , parolası gibi davranır.

Uygulamalar için hizmet sorumlusu edinmenin iki yolu vardır:

  • Önerilen: Uygulama için sistem tarafından atanan yönetilen kimliği etkinleştirin.

    Yönetilen kimlik ile Azure, uygulamanın hizmet sorumlusunu dahili olarak yönetir ve uygulamanın kimliğini diğer Azure hizmetleriyle otomatik olarak doğrular. Yönetilen kimlik, çeşitli hizmetlere dağıtılan uygulamalar için kullanılabilir.

    Daha fazla bilgi için bkz. Yönetilen kimliğe genel bakış. Ayrıca, belirli hizmetler (App Service, Azure İşlevleri, Sanal Makineler vb.) için yönetilen kimliği etkinleştirmeyi açıklayan makalelere bağlanan yönetilen kimliği destekleyen Azure hizmetleri konusuna da bakın.

  • Yönetilen kimlik kullanamıyorsanız, hızlı başlangıç: Azure kimlik platformuna uygulama kaydetme başlığı altında açıklandığı gibi uygulamayı Azure AD kiracınıza kaydedersiniz. Kayıt ayrıca tüm kiracılarda uygulamayı tanımlayan ikinci bir uygulama nesnesi oluşturur.

Key Vault güvenlik duvarını yapılandırma

Varsayılan olarak, Key Vault genel IP adresleri aracılığıyla kaynaklara erişime izin verir. Daha fazla güvenlik için belirli IP aralıklarına, hizmet uç noktalarına, sanal ağlara veya özel uç noktalara erişimi de kısıtlayabilirsiniz.

Daha fazla bilgi için bkz. Güvenlik duvarının arkasındaki Azure Key Vault erişme.

Kimlik doğrulaması ile Key Vault isteği işlem akışı

Key Vault kimlik doğrulaması, Key Vault üzerindeki her istek işleminin bir parçası olarak gerçekleşir. Belirteç alındıktan sonra sonraki çağrılar için yeniden kullanılabilir. Kimlik doğrulama akışı örneği:

  1. Belirteç, Azure AD kimlik doğrulaması isteğinde bulunabilir, örneğin:

    • Sanal makine veya yönetilen kimliği olan App Service uygulaması gibi bir Azure kaynağı, erişim belirteci almak için REST uç noktasıyla iletişim kurar.
    • Kullanıcı, kullanıcı adı ve parola kullanarak Azure portal oturum açar.
  2. Azure AD kimlik doğrulaması başarılı olursa, güvenlik sorumlusuna bir OAuth belirteci verilir.

  3. Key Vault uç noktası (URI) aracılığıyla Key Vault REST API çağrısı.

  4. Key Vault Güvenlik Duvarı aşağıdaki ölçütleri denetler. Herhangi bir ölçüt karşılanırsa, çağrıya izin verilir. Aksi takdirde çağrı engellenir ve yasak yanıt döndürülür.

    • Güvenlik duvarı devre dışı bırakılır ve Key Vault genel uç noktasına genel İnternet'ten erişilebilir.
    • Çağıran, güvenlik duvarını atlamasına olanak sağlayan bir Key Vault Güvenilen Hizmettir.
    • Arayan, güvenlik duvarında IP adresine, sanal ağa veya hizmet uç noktasına göre listelenir.
    • Arayan, yapılandırılmış bir özel bağlantı üzerinden Key Vault ulaşabilir.
  5. Güvenlik duvarı aramaya izin veriyorsa Key Vault, güvenlik sorumlusunun erişim belirtecini doğrulamak için Azure AD çağırır.

  6. Key Vault, güvenlik sorumlusunun istenen işlem için gerekli izne sahip olup olmadığını denetler. Aksi takdirde, Key Vault yasak bir yanıt döndürür.

  7. Key Vault istenen işlemi yürütür ve sonucu döndürür.

Aşağıdaki diyagramda bir uygulamanın Key Vault "Gizli Dizi Al" API'sini çağırma işlemi gösterilmektedir:

Azure Key Vault kimlik doğrulama akışı

Not

Gizli diziler, sertifikalar ve anahtarlar için SDK istemcilerini Key Vault erişim belirteci olmadan Key Vault ek bir çağrı yapar ve bu da kiracı bilgilerini almak için 401 yanıtına neden olur. Daha fazla bilgi için bkz . Kimlik doğrulaması, istekler ve yanıtlar

Uygulama kodunda Key Vault kimlik doğrulaması

Key Vault SDK, ortamlar arasında aynı kodla Key Vault sorunsuz kimlik doğrulamasına olanak tanıyan Azure Identity istemci kitaplığını kullanıyor

Azure Identity istemci kitaplıkları

.NET Python Java JavaScript
Azure Kimlik SDK'sı .NET Azure Kimlik SDK'sı Python Azure Identity SDK Java Azure Identity SDK JavaScript

En iyi yöntemler ve geliştirici örnekleri hakkında daha fazla bilgi için bkz. Kodda Key Vault kimlik doğrulaması

Sonraki Adımlar