Ügyféltanúsítvány ellenőrzése
A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint
validate-client-certificate A szabályzat használatával kényszerítheti, hogy az ügyfél által egy API Management-példánynak bemutatott tanúsítvány megfeleljen a megadott érvényesítési szabályoknak és jogcímeknek, például egy vagy több tanúsítványidentitás tulajdonosának vagy kiállítójának.
Ahhoz, hogy érvényesnek lehessen tekinteni, az ügyféltanúsítványnak meg kell egyeznie a legfelső szintű elem attribútumai által meghatározott összes érvényesítési szabálysal, és meg kell egyeznie a definiált identitások legalább egy meghatározott jogcímével.
Ezzel a házirenddel ellenőrizheti a bejövő tanúsítvány tulajdonságait a kívánt tulajdonságok között. Ezzel a szabályzattal felülbírálhatja az ügyféltanúsítványok alapértelmezett érvényesítését az alábbi esetekben:
- Ha egyéni hitelesítésszolgáltatói tanúsítványokat töltött fel az ügyfélkérések felügyelt átjáróra való érvényesítéséhez
- Ha egyéni hitelesítésszolgáltatókat konfigurált az ügyfélkérések ön által felügyelt átjáróhoz való érvényesítésére
Az egyéni hitelesítésszolgáltatói tanúsítványokról és a hitelesítésszolgáltatókról további információt az Egyéni hitelesítésszolgáltatói tanúsítvány hozzáadása az Azure API Managementben című témakörben talál.
Feljegyzés
Állítsa be a szabályzat elemeit és gyermekelemeit a szabályzatutasításban megadott sorrendben. További információ az API Management-szabályzatok beállításáról és szerkesztéséről.
Szabályzatutasítás
<validate-client-certificate
validate-revocation="true | false"
validate-trust="true | false"
validate-not-before="true | false"
validate-not-after="true | false"
ignore-error="true | false">
<identities>
<identity
thumbprint="certificate thumbprint"
serial-number="certificate serial number"
common-name="certificate common name"
subject="certificate subject string"
dns-name="certificate DNS name"
issuer-subject="certificate issuer"
issuer-thumbprint="certificate issuer thumbprint"
issuer-certificate-id="certificate identifier"/>
</identities>
</validate-client-certificate>
Attribútumok
| Név | Leírás | Kötelező | Alapértelmezett |
|---|---|---|---|
| érvényesség-visszavonás | Logikai. Megadja, hogy a tanúsítvány érvényesítve van-e az online visszavonási listán. A szabályzatkifejezések nem engedélyezettek. | Nem | true |
| validate-trust | Logikai. Megadja, hogy az ellenőrzés sikertelen-e abban az esetben, ha a lánc nem hozható létre sikeresen a megbízható hitelesítésszolgáltató számára. A szabályzatkifejezések nem engedélyezettek. | Nem | true |
| ellenőrzés-nem-előtt | Logikai. Ellenőrzi az aktuális időponthoz viszonyított értéket. A szabályzatkifejezések nem engedélyezettek. | Nem | true |
| ellenőrzés-nem után | Logikai. Ellenőrzi az aktuális időponthoz viszonyított értéket. A szabályzatkifejezések nem engedélyezettek. | Nem | true |
| ignore-error | Logikai. Azt adja meg, hogy a szabályzatnak a következő kezelőhöz kell-e lépnie, vagy sikertelen érvényesítés esetén a hibakeresésre kell-e ugrania. A szabályzatkifejezések nem engedélyezettek. | Nem | false |
Elemek
| Elem | Leírás | Kötelező |
|---|---|---|
| Identitások | Adja hozzá ezt az elemet egy vagy több identity , az ügyféltanúsítványon meghatározott jogcímekkel rendelkező elem megadásához. |
Nem |
identitásattribútumok
| Név | Leírás | Kötelező | Alapértelmezett |
|---|---|---|---|
| Ujjlenyomat | Tanúsítvány ujjlenyomata. | Nem | N.A. |
| sorozatszám | Tanúsítvány sorozatszáma. | Nem | N.A. |
| köznapi név | Tanúsítvány köznapi neve (a Tárgy sztring része). | Nem | N.A. |
| tárgy | Tárgysztring. A megkülönböztető név formátumát kell követnie. | Nem | N.A. |
| dns-name | A dnsName bejegyzés értéke a Tulajdonos alternatív neve jogcímen belül. | Nem | N.A. |
| kiállító–tulajdonos | A kiállító tárgya. A megkülönböztető név formátumát kell követnie. | Nem | N.A. |
| kiállító-ujjlenyomat | Kiállító ujjlenyomata. | Nem | N.A. |
| issuer-certificate-id | A kiállító nyilvános kulcsát képviselő meglévő tanúsítványentitás azonosítója. Más kiállítói attribútumokkal kölcsönösen kizárva. | Nem | N.A. |
Használat
- Szabályzatszakaszok: bejövő
- Szabályzathatókörök: globális, munkaterület, termék, API, művelet
- Átjárók: klasszikus, v2, használat, saját üzemeltetésű
Példa
Az alábbi példa egy ügyféltanúsítványt ellenőriz a szabályzat alapértelmezett érvényesítési szabályainak megfelelően, és ellenőrzi, hogy a tulajdonos és a kiállító neve megegyezik-e a megadott értékekkel.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
subject="C=US, ST=Illinois, L=Chicago, O=Contoso Corp., CN=*.contoso.com"
issuer-subject="C=BE, O=FabrikamSign nv-sa, OU=Root CA, CN=FabrikamSign Root CA" />
</identities>
</validate-client-certificate>
Kapcsolódó szabályzatok
Kapcsolódó tartalom
A szabályzatok használatával kapcsolatos további információkért lásd:
- Oktatóanyag: AZ API átalakítása és védelme
- Szabályzathivatkozás a szabályzatutasságok és azok beállításainak teljes listájához
- Házirend-kifejezések
- Házirendek beállítása vagy szerkesztése
- Szabályzatkonfigurációk újrafelhasználása
- Szabályzatrészletek adattára
- Szabályzatok létrehozása az Azure-hoz készült Microsoft Copilot használatával