Igazolási szabályzat létrehozása
Az igazolási szabályzat a Microsoft Azure Attestation feltöltött fájl. Azure Attestation rugalmasan feltölthet egy szabályzatot igazolás-specifikus szabályzatformátumban. Másik lehetőségként a szabályzat kódolt verziója is feltölthető a JSON Web Signatureban. A szabályzat rendszergazdája felelős az igazolási szabályzat megírásáért. A legtöbb igazolási forgatókönyvben a függő entitás a szabályzat rendszergazdájaként működik. Az igazolási hívást kezdeményező ügyfél igazolási bizonyítékokat küld, amelyeket a szolgáltatás a bejövő jogcímekké (tulajdonságok, értékkészletek) alakít át. A szolgáltatás ezután feldolgozza a jogcímeket a szabályzatban meghatározottak alapján, és visszaadja a kiszámított eredményt.
A szabályzat olyan szabályokat tartalmaz, amelyek meghatározzák az engedélyezési feltételeket, a tulajdonságokat és az igazolási jogkivonat tartalmát. Egy szabályzatmintafájl az alábbi módon néz ki:
version=1.0;
authorizationrules
{
c:[type="secureBootEnabled", issuer=="AttestationService"]=> permit()
};
issuancerules
{
c:[type="secureBootEnabled", issuer=="AttestationService"]=> issue(claim=c)
c:[type="notSafeMode", issuer=="AttestationService"]=> issue(claim=c)
};
A szabályzatfájlnak három szegmense van, a fentiekben látható módon:
verzió: A verzió a követett nyelvhelyesség verziószáma.
version=MajorVersion.MinorVersion
Jelenleg az egyetlen támogatott verzió az 1.0-s verzió.
authorizationrules: A jogcímszabályok gyűjteménye, amelyet először ellenőrizünk annak megállapításához, hogy Azure Attestation kell-e továbblépnie a kiállítási szabályokra. A jogcímszabályok a definiált sorrendben érvényesek.
kiállítási szabályok: Jogcímszabályok gyűjteménye, amelyet a rendszer úgy értékel ki, hogy további információkat adjon hozzá az igazolási eredményhez a szabályzatban meghatározottak szerint. A jogcímszabályok a meghatározott sorrendben érvényesek, és nem kötelezőek.
További információt a jogcím- és jogcímszabályokat ismertető cikkben talál.
A szabályzatfájl piszkozata
- Hozzon létre egy új fájlt.
- Adja hozzá a verziót a fájlhoz.
- Szakaszokat adhat hozzá az engedélyezési éskiállítási szabályokhoz.
version=1.0;
authorizationrules
{
=>deny();
};
issuancerules
{
};
Az engedélyezési szabályok feltétel nélkül tartalmazzák a deny() műveletet, hogy a rendszer ne dolgozza fel a kiállítási szabályokat. Alternatív megoldásként az engedélyezési szabály is tartalmazhat engedélyezési() műveletet a kiállítási szabályok feldolgozásának engedélyezéséhez.
- Jogcímszabályok hozzáadása az engedélyezési szabályokhoz
version=1.0;
authorizationrules
{
[type=="secureBootEnabled", value==true, issuer=="AttestationService"]=>permit();
};
issuancerules
{
};
Ha a bejövő jogcímkészlet a típusnak, az értéknek és a kiállítónak megfelelő jogcímet tartalmaz, az engedélyezési() művelet tájékoztatja a szabályzatmotort a kiállítási szabályok feldolgozásáról.
- Jogcímszabályok hozzáadása a kiállítási szabályokhoz.
version=1.0;
authorizationrules
{
[type=="secureBootEnabled", value==true, issuer=="AttestationService"]=>permit();
};
issuancerules
{
=> issue(type="SecurityLevelValue", value=100);
};
A kimenő jogcímkészlet egy jogcímet fog tartalmazni a következőkkel:
[type="SecurityLevelValue", value=100, valueType="Integer", issuer="AttestationPolicy"]
Az összetett szabályzatok hasonló módon hozhatók létre. További információkért lásd az igazolási szabályzatra vonatkozó példákat.
- Mentse a fájlt.
A szabályzatfájl létrehozása JSON Web Signature formátumban
Szabályzatfájl létrehozása után A szabályzat JWS formátumban való feltöltéséhez kövesse az alábbi lépéseket.
Hozza létre a JWS RFC 7515-öt szabályzattal (utf-8 kódolással) hasznos adatként
- A Base64Url kódolású szabályzat hasznosadat-azonosítójának "AttestationPolicy" (AttestationPolicy) kell lennie.
JWT-minta:
Header: {"alg":"none"} Payload: {"AttestationPolicy":" Base64Url (policy)"} Signature: {} JWS format: eyJhbGciOiJub25lIn0.XXXXXXXXX.
(Nem kötelező) Írja alá a szabályzatot. Azure Attestation a következő algoritmusokat támogatja:
- Nincs: Ne írja alá a szabályzat hasznos adatait.
- RS256: Támogatott algoritmus a szabályzat hasznos adatainak aláírásához
Töltse fel a JWS-t, és ellenőrizze a szabályzatot.
- Ha a szabályzatfájl nem tartalmaz szintaktikai hibákat, a szolgáltatás elfogadja a szabályzatfájlt.
- Ha a szabályzatfájl szintaktikai hibákat tartalmaz, a szolgáltatás elutasítja a szabályzatfájlt.