Ověřování v Azure Key Vault

  • Článek
  • 3 min ke čtení

Ověřování pomocí Key Vault funguje ve spojení s Azure Active Directory (Azure AD), která zodpovídá za ověřování identity libovolného objektu zabezpečení.

Objekt zabezpečení je objekt, který představuje uživatele, skupinu, službu nebo aplikaci požadující přístup k prostředkům Azure. Azure přiřadí jedinečné ID objektu každému objektu zabezpečení.

  • Objekt zabezpečení uživatele identifikuje jednotlivce, který má profil v Azure Active Directory.

  • Objekt zabezpečení skupiny identifikuje sadu uživatelů vytvořených v Azure Active Directory. Všechny role nebo oprávnění přiřazených ke skupině jsou udělena všem uživatelům v rámci dané skupiny.

  • Instanční objekt je typ objektu zabezpečení, který identifikuje aplikaci nebo službu, což znamená, že je místo uživatele nebo skupiny slovní část kódu. ID objektu instančního objektu se označuje jako jeho ID klienta a funguje jako jeho uživatelské jméno. Tajný kód klienta instančního objektu funguje jako jeho heslo.

Pro aplikace existují dva způsoby, jak získat instanční objekt:

  • Doporučené: pro aplikaci povolte spravovanou identitu přiřazenou systémem.

    Díky spravované identitě Azure interně spravuje instanční objekt aplikace a automaticky ověřuje aplikaci s ostatními službami Azure. Spravovaná identita je k dispozici pro aplikace nasazené do různých služeb.

    Další informace najdete v tématu Přehled spravované identity. Podívejte se také na služby Azure, které podporují spravovanou identitu, které odkazují na články, které popisují, jak povolit spravovanou identitu pro konkrétní služby (například App Service, Azure Functions, Virtual Machines atd.).

  • Pokud nemůžete použít spravovanou identitu, můžete místo toho aplikaci zaregistrovat u svého TENANTA Azure AD, jak je popsáno v tématu rychlý Start: registrace aplikace s platformou identity Azure. Registrace také vytvoří druhý objekt aplikace, který identifikuje aplikaci ve všech tenantech.

Konfigurace brány Key Vault firewall

Ve výchozím nastavení Key Vault přístup k prostředkům prostřednictvím veřejných IP adres. Pro větší zabezpečení můžete také omezit přístup ke konkrétním rozsahům IP adres, koncovým bodům služby, virtuálním sítím nebo privátním koncovým bodům.

Další informace najdete v tématu Přístupový Azure Key Vault za bránou firewall.

Tok Key Vault požadavek na operaci s ověřováním

Key Vault ověřování probíhá v rámci každé operace požadavku na Key Vault. Po načtení tokenu je možné ho znovu použít pro následná volání. Příklad toku ověřování:

  1. Token požádá o ověření ve službě Azure AD, například:

    • Prostředek Azure, jako je virtuální počítač nebo App Service spravovanou identitou, kontaktuje koncový bod REST a získá přístupový token.
    • Uživatel se do služby Azure Portal pomocí uživatelského jména a hesla.

  2. Pokud je ověření pomocí Azure AD úspěšné, objektu zabezpečení se udělí token OAuth.

  3. Volání metody Key Vault REST API prostřednictvím Key Vault koncového bodu (URI) koncového bodu aplikace.

  4. Key Vault Firewall zkontroluje následující kritéria. Pokud je splněno nějaké kritérium, je volání povoleno. V opačném případě se volání zablokuje a vrátí se zakázaná odpověď.

    • Brána firewall je zakázaná a veřejný koncový bod Key Vault dostupný z veřejného internetu.
    • Volající je Key Vault služběa umožňuje mu obejít bránu firewall.
    • Volající je uveden v bráně firewall podle IP adresy, virtuální sítě nebo koncového bodu služby.
    • Volající může kontaktovat Key Vault přes nakonfigurované připojení pomocí privátního propojení.

  5. Pokud brána firewall povoluje volání, Key Vault volá službu Azure AD za účelem ověření přístupového tokenu objektu zabezpečení.

  6. Key Vault zkontroluje, jestli má objekt zabezpečení potřebná oprávnění pro požadovanou operaci. V takovém případě Key Vault vrátí zakázanou odpověď.

  7. Key Vault provede požadovanou operaci a vrátí výsledek.

Následující obrázek znázorňuje proces pro aplikaci, která volá rozhraní API "Get tajného klíče" Key Vault:

Azure Key Vault tok ověřování

Poznámka

Key Vault klienti SDK pro tajné klíče, certifikáty a klíče provedou další volání Key Vault bez přístupového tokenu, které má za následek 401 reakci na načtení informací o tenantovi. Další informace najdete v tématu ověřování, žádosti a odpovědi .

Ověřování pro Key Vault v kódu aplikace

Sada Key Vault SDK používá knihovnu klienta Azure identity, která umožňuje bezproblémové ověřování pro Key Vault napříč prostředími se stejným kódem.

Klientské knihovny identit Azure

.NET Python Java JavaScript
Sada Azure identity SDK .NET Azure identity SDK Python Sada Azure identity SDK Java JavaScript sady Azure identity SDK

Další informace o osvědčených postupech a příklady pro vývojáře najdete v tématu ověření pro Key Vault v kódu .

Další kroky