Igazolási szabályzat létrehozása

  • Cikk

Az igazolási szabályzat a Microsoft Azure Attestation feltöltött fájl. Azure Attestation rugalmasan feltölthet egy szabályzatot igazolás-specifikus szabályzatformátumban. Másik lehetőségként a szabályzat kódolt verziója is feltölthető a JSON Web Signatureban. A szabályzat rendszergazdája felelős az igazolási szabályzat megírásáért. A legtöbb igazolási forgatókönyvben a függő entitás a szabályzat rendszergazdájaként működik. Az igazolási hívást kezdeményező ügyfél igazolási bizonyítékokat küld, amelyeket a szolgáltatás a bejövő jogcímekké (tulajdonságok, értékkészletek) alakít át. A szolgáltatás ezután feldolgozza a jogcímeket a szabályzatban meghatározottak alapján, és visszaadja a kiszámított eredményt.

A szabályzat olyan szabályokat tartalmaz, amelyek meghatározzák az engedélyezési feltételeket, a tulajdonságokat és az igazolási jogkivonat tartalmát. Egy szabályzatmintafájl az alábbi módon néz ki:

version=1.0;
authorizationrules
{
   c:[type="secureBootEnabled", issuer=="AttestationService"]=> permit()
};

issuancerules
{
  c:[type="secureBootEnabled", issuer=="AttestationService"]=> issue(claim=c)
  c:[type="notSafeMode", issuer=="AttestationService"]=> issue(claim=c)
};

A szabályzatfájlnak három szegmense van, a fentiekben látható módon:

  • verzió: A verzió a követett nyelvhelyesség verziószáma.

    version=MajorVersion.MinorVersion

    Jelenleg az egyetlen támogatott verzió az 1.0-s verzió.

  • authorizationrules: A jogcímszabályok gyűjteménye, amelyet először ellenőrizünk annak megállapításához, hogy Azure Attestation kell-e továbblépnie a kiállítási szabályokra. A jogcímszabályok a definiált sorrendben érvényesek.

  • kiállítási szabályok: Jogcímszabályok gyűjteménye, amelyet a rendszer úgy értékel ki, hogy további információkat adjon hozzá az igazolási eredményhez a szabályzatban meghatározottak szerint. A jogcímszabályok a meghatározott sorrendben érvényesek, és nem kötelezőek.

További információt a jogcím- és jogcímszabályokat ismertető cikkben talál.

A szabályzatfájl piszkozata

  1. Hozzon létre egy új fájlt.
  2. Adja hozzá a verziót a fájlhoz.
  3. Szakaszokat adhat hozzá az engedélyezési éskiállítási szabályokhoz.
version=1.0;
authorizationrules
{
=>deny();
};

issuancerules
{
};

Az engedélyezési szabályok feltétel nélkül tartalmazzák a deny() műveletet, hogy a rendszer ne dolgozza fel a kiállítási szabályokat. Alternatív megoldásként az engedélyezési szabály is tartalmazhat engedélyezési() műveletet a kiállítási szabályok feldolgozásának engedélyezéséhez.

  1. Jogcímszabályok hozzáadása az engedélyezési szabályokhoz
version=1.0;
authorizationrules
{
[type=="secureBootEnabled", value==true, issuer=="AttestationService"]=>permit();
};

issuancerules
{
};

Ha a bejövő jogcímkészlet a típusnak, az értéknek és a kiállítónak megfelelő jogcímet tartalmaz, az engedélyezési() művelet tájékoztatja a szabályzatmotort a kiállítási szabályok feldolgozásáról.

  1. Jogcímszabályok hozzáadása a kiállítási szabályokhoz.
version=1.0;
authorizationrules
{
[type=="secureBootEnabled", value==true, issuer=="AttestationService"]=>permit();
};

issuancerules
{
=> issue(type="SecurityLevelValue", value=100);
};

A kimenő jogcímkészlet egy jogcímet fog tartalmazni a következőkkel:

[type="SecurityLevelValue", value=100, valueType="Integer", issuer="AttestationPolicy"]

Az összetett szabályzatok hasonló módon hozhatók létre. További információkért lásd az igazolási szabályzatra vonatkozó példákat.

  1. Mentse a fájlt.

A szabályzatfájl létrehozása JSON Web Signature formátumban

Szabályzatfájl létrehozása után A szabályzat JWS formátumban való feltöltéséhez kövesse az alábbi lépéseket.

  1. Hozza létre a JWS RFC 7515-öt szabályzattal (utf-8 kódolással) hasznos adatként

    • A Base64Url kódolású szabályzat hasznosadat-azonosítójának "AttestationPolicy" (AttestationPolicy) kell lennie.

    JWT-minta:

    Header: {"alg":"none"}
Payload: {"AttestationPolicy":" Base64Url (policy)"}
Signature: {}

JWS format: eyJhbGciOiJub25lIn0.XXXXXXXXX.

  2. (Nem kötelező) Írja alá a szabályzatot. Azure Attestation a következő algoritmusokat támogatja:

    • Nincs: Ne írja alá a szabályzat hasznos adatait.
    • RS256: Támogatott algoritmus a szabályzat hasznos adatainak aláírásához

  3. Töltse fel a JWS-t, és ellenőrizze a szabályzatot.

    • Ha a szabályzatfájl nem tartalmaz szintaktikai hibákat, a szolgáltatás elfogadja a szabályzatfájlt.
    • Ha a szabályzatfájl szintaktikai hibákat tartalmaz, a szolgáltatás elutasítja a szabályzatfájlt.

Következő lépések