向 Azure Key Vault 進行驗證

已完成 100 XP

使用 Key Vault 的驗證可搭配 Microsoft Entra ID 運作，此標識碼負責驗證任何指定安全性主體的身分識別。

針對應用程式，有兩種方式可取得服務主體：

• 為應用程式啟用系統指派 受控識別。 使用受控識別，Azure 會在內部管理應用程式的服務主體，並自動向其他 Azure 服務驗證應用程式。 受控識別適用於部署至各種服務的應用程式。

• 如果您無法使用受控識別，請改為向 Microsoft Entra 租使用者註冊應用程式。 註冊也會建立第二個應用程式物件，以識別所有租用戶的應用程式。

注意

建議使用系統指派的受控識別。

以下是在不使用受控識別的情況下向 Key Vault 進行驗證的相關信息。

應用程式程式碼中對 Key Vault 的驗證

Key Vault SDK 使用 Azure 身分識別用戶端程式庫，使密鑰保存庫能夠在不同環境中使用相同程式碼順暢地進行驗證。 下表提供 Azure 身分識別用戶端連結庫的相關信息：

.NET	蟒	爪哇島	JavaScript
Azure Identity SDK .NET	Azure Identity SDK Python	Azure Identity SDK Java	Azure Identity SDK JavaScript

使用 REST 向 Key Vault 進行驗證

存取權杖必須使用 HTTP 授權標頭傳送至服務：

HTTP

PUT /keys/MYKEY?api-version=<api_version>  HTTP/1.1  
Authorization: Bearer <access_token>

未提供存取令牌，或服務不接受令牌時，會傳回 HTTP 401 錯誤給用戶端，並將包含 WWW-Authenticate 標頭，例如：

HTTP

401 Not Authorized  
WWW-Authenticate: Bearer authorization="…", resource="…"

WWW-Authenticate 標頭上的參數如下：

• authorization：OAuth2 授權服務的位址，可用來取得要求的存取令牌。

• resource：要用於授權要求的資源名稱（https://vault.azure.net）。

其他資源

• Azure Key Vault 開發人員指南
• Azure Key Vault 可用性和備援

---

下一個單元: 練習：使用 Azure CLI 從 Azure Key Vault 設定和擷取秘密

上一個 下一個