Hitelesítés az Azure Key Vaultban

A Key Vaulttal való hitelesítés az Azure Active Directoryval (Azure AD) együtt működik, amely az adott rendszerbiztonsági tag identitásának hitelesítéséért felelős.

A rendszerbiztonsági tag egy olyan objektum, amely egy olyan felhasználót, csoportot, szolgáltatást vagy alkalmazást jelöl, amely hozzáférést kér az Azure-erőforrásokhoz. Az Azure minden rendszerbiztonsági taghoz egyedi objektumazonosítót rendel.

• A felhasználói biztonsági rendszerbiztonsági tag azonosítja az Azure Active Directoryban profillal rendelkező személyt.

• A csoportbiztonsági tag azonosítja az Azure Active Directoryban létrehozott felhasználók egy csoportját. A csoporthoz rendelt szerepkörök vagy engedélyek a csoport összes felhasználójának meg vannak adva.

• A szolgáltatásnév egy olyan rendszerbiztonsági tag, amely egy alkalmazást vagy szolgáltatást azonosít, azaz egy kódrészletet, nem pedig felhasználót vagy csoportot. A szolgáltatásnév objektumazonosítóját ügyfél-azonosítónak nevezzük, és a felhasználónevéhez hasonlóan viselkedik. A szolgáltatásnév titkos ügyfélkódja a jelszavához hasonlóan működik.

Az alkalmazások esetében kétféleképpen szerezhető be szolgáltatásnév:

• Ajánlott: engedélyezze a rendszer által hozzárendelt felügyelt identitást az alkalmazáshoz.

  A felügyelt identitással az Azure belsőleg kezeli az alkalmazás szolgáltatásnevét, és automatikusan hitelesíti az alkalmazást más Azure-szolgáltatásokkal. A felügyelt identitás számos szolgáltatásban üzembe helyezett alkalmazásokhoz érhető el.

  További információt a felügyelt identitás áttekintésében talál. Lásd még a felügyelt identitást támogató Azure-szolgáltatásokat, amelyek olyan cikkekre hivatkoznak, amelyek ismertetik, hogyan engedélyezhető a felügyelt identitás adott szolgáltatásokhoz (például App Service, Azure Functions, Virtuális gépek stb.).

• Ha nem tudja használni a felügyelt identitást, ehelyett regisztrálja az alkalmazást az Azure AD-bérlőben a következő rövid útmutatóban leírtak szerint: Alkalmazás regisztrálása az Azure-identitásplatformon. A regisztráció egy második alkalmazásobjektumot is létrehoz, amely azonosítja az alkalmazást az összes bérlőben.

A Key Vault tűzfalának konfigurálása

Alapértelmezés szerint a Key Vault nyilvános IP-címeken keresztül teszi lehetővé az erőforrások elérését. A nagyobb biztonság érdekében adott IP-tartományokra, szolgáltatásvégpontokra, virtuális hálózatokra vagy privát végpontokra is korlátozhatja a hozzáférést.

További információ: Az Azure Key Vault elérése tűzfal mögött.

A Key Vault kérési műveletének folyamata hitelesítéssel

A Key Vault-hitelesítés a Key Vault minden kérési műveletének részeként történik. A jogkivonat lekérése után újra felhasználható a későbbi hívásokhoz. Példa hitelesítési folyamatra:

1. Jogkivonat kérése az Azure AD-vel való hitelesítéshez, például:

   • Egy Azure-erőforrás, például egy felügyelt identitással rendelkező virtuális gép vagy App Service-alkalmazás kapcsolatba lép a REST-végponttal egy hozzáférési jogkivonat lekéréséhez.
   • A felhasználó felhasználónévvel és jelszóval jelentkezik be az Azure Portalra.

2. Ha az Azure AD-vel történő hitelesítés sikeres, a rendszerbiztonsági tag kap egy OAuth-jogkivonatot.

3. A Key Vault REST API-jának hívása a Key Vault végpontján (URI) keresztül.

4. A Key Vault tűzfala az alábbi feltételeket ellenőrzi. Ha valamelyik feltétel teljesül, a hívás engedélyezett. Ellenkező esetben a hívás le lesz tiltva, és a rendszer tiltott választ ad vissza.

   • A tűzfal le van tiltva, és a Key Vault nyilvános végpontja elérhető a nyilvános internetről.
   • A hívó egy Megbízható Key Vault-szolgáltatás, amely lehetővé teszi a tűzfal megkerülését.
   • A hívó IP-cím, virtuális hálózat vagy szolgáltatásvégpont alapján szerepel a tűzfalon.
   • A hívó egy konfigurált privát kapcsolaton keresztül érheti el a Key Vaultot.

5. Ha a tűzfal engedélyezi a hívást, a Key Vault meghívja az Azure AD-t a rendszerbiztonsági tag hozzáférési jogkivonatának ellenőrzéséhez.

6. A Key Vault ellenőrzi, hogy a rendszerbiztonsági tag rendelkezik-e a kért művelethez szükséges engedélyekkel. Ha nem, a Key Vault tiltott választ ad vissza.

7. A Key Vault végrehajtja a kért műveletet, és visszaadja az eredményt.

Az alábbi ábra egy Key Vault "Titkos kód lekérése" API-t hívó alkalmazás folyamatát szemlélteti:

Megjegyzés

A Key Vault SDK-ügyfelek a titkos kódokhoz, tanúsítványokhoz és kulcsokhoz további hívást kezdeményeznek a Key Vaulthoz hozzáférési jogkivonat nélkül, ami 401-et eredményez a bérlői adatok lekéréséhez. További információ: Hitelesítés, kérések és válaszok

Hitelesítés a Key Vaultban az alkalmazáskódban

A Key Vault SDK az Azure Identity ügyféloldali kódtárát használja, amely zökkenőmentes hitelesítést tesz lehetővé a Key Vaultban az azonos kóddal rendelkező környezetekben

Azure Identity-ügyfélkódtárak

.NET	Python	Java	JavaScript
Azure Identity SDK .NET	Azure Identity SDK Python	Azure Identity SDK Java	Azure Identity SDK JavaScript

További információ az ajánlott eljárásokról és a fejlesztői példákról: Hitelesítés a Key Vaultban kódban

Következő lépések

• A Key Vault fejlesztői útmutatója

• Key Vault hozzáférési szabályzat hozzárendelése az Azure Portal használatával

• Azure RBAC-szerepkör hozzárendelése a Key Vaulthoz

• Key Vault hozzáférési szabályzat hibaelhárítása

• Key Vault – REST API-hibakódok

• Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?