Použití klientského certifikátu k získání přístupových tokenů z Azure AD
Vzorek kóduTento článek popisuje, jak přidat klientský certifikát do ukázkové aplikace Tailspin prohlídky .
při použití toku autorizačního kódu nebo hybridního toku v OpenID Připojení klient vyměňuje autorizační kód pro přístupový token. V průběhu tohoto kroku se klient musí na server ověřit.
Existuje mnoho způsobů, jak ověřit klienta, pomocí tajného klíče klienta, certifikátu a kontrolních výrazů. Aplikace Tailspin Surveys je nakonfigurovaná tak, aby ve výchozím nastavení používala tajný klíč klienta.
Tady je příklad požadavku z klienta na IDP a vyžádání přístupového tokenu. Všimněte si parametru client_secret.
POST https://login.microsoftonline.com/b9bd2162xxx/oauth2/token HTTP/1.1
Content-Type: application/x-www-form-urlencoded
resource=https://tailspin.onmicrosoft.com/surveys.webapi
&client_id=87df91dc-63de-4765-8701-b59cc8bd9e11
&client_secret=i3Bf12Dn...
&grant_type=authorization_code
&code=PG8wJG6Y...
Tajný kód je pouze řetězec, takže je nutné zajistit, aby neunikla hodnota. Osvědčeným postupem je zachovat tajný klíč klienta ze správy zdrojového kódu. Při nasazení do Azure uložte tajný klíč do nastavení aplikace.
Kdokoli s přístupem k předplatnému Azure si ale může zobrazit nastavení aplikace. Kromě toho je vždy pokušení ke kontrole tajných kódů do správy zdrojů (například v skriptech nasazení), jejich sdílení e-mailem atd.
Pro zvýšení zabezpečení můžete místo tajného klíče klienta použít klientský certifikát. Klient používá certifikát k prokázání žádosti o token od klienta. Certifikát klienta je uložený v trezoru klíčů. Pro tuto možnost přidejte do ClientCertificates části AzureAd a zadejte nastavení konfigurace, jak je znázorněno zde:
"ClientCertificates": [
{
"SourceType": "KeyVault",
"KeyVaultUrl": "https://msidentitywebsamples.vault.azure.net",
"KeyVaultCertificateName": "MicrosoftIdentityCert"
}
]
Poznámka
Další informace najdete v tématu použití certifikátů s Microsoft. identity. Web.