Come proteggere i servizi back-end usando l'autenticazione con certificati client in Gestione API di Azure

Gestione API offre la possibilità di proteggere l'accesso al servizio back-end di un'API usando i certificati client. Questa guida illustra come gestire i certificati nel portale di pubblicazione delle API e come configurare un'API per l'uso di un certificato per accedere al servizio back-end.

Per informazioni sulla gestione dei certificati con l'API REST di Gestione API, vedere Azure API Management REST API Certificate entity (Entità certificato dell'API REST di Gestione API di Azure).

Prerequisiti

In questa guida viene illustrato come configurare un'istanza del servizio di Gestione API per l'uso dell'autenticazione con certificati client per accedere al servizio back-end di un'API. Prima di seguire i passaggi indicati in questo argomento è necessario aver configurato il servizio back-end per l'autenticazione del certificato client (per la configurazione dell'autenticazione del certificato client nei siti Web di Azure, vedere questo articolo ) e avere l'accesso al certificato e alla relativa password per il caricamento nel portale di pubblicazione di Gestione API.

Caricare un certificato client

Per iniziare, fare clic sul portale di pubblicazione nel Portale di Azure relativo al servizio Gestione API. Verrà visualizzato il portale di pubblicazione di Gestione API.

Portale di pubblicazione delle API

Se non è stata creata un'istanza del servizio Gestione API, vedere Creare un'istanza di Gestione API nell'esercitazione Introduzione a Gestione API di Azure.

Fare clic su Sicurezza dal menu Gestione API a sinistra, quindi scegliere Certificati client.

Certificati client

Per caricare un nuovo certificato, fare clic su Carica certificato.

Carica certificato

Passare al certificato e immettere la relativa password.

Il certificato deve essere nel formato .pfx . Sono consentiti i certificati autofirmati.

Carica certificato

Fare clic su Carica per caricare il certificato.

A questo punto la password del certificato viene convalidata. Se non è corretta, viene visualizzato un messaggio di errore.

Certificato caricato

Una volta caricato il certificato, questo viene visualizzato nella scheda Certificati client . Se si hanno più certificati, prendere nota dell'oggetto o degli ultimi quattro caratteri dell'identificazione personale, che vengono usati per selezionare il certificato quando si configura un'API per l'uso dei certificati, come illustrato nella sezione Configurare un'API per l'uso di un certificato client per l'autenticazione gateway che segue.

Per disattivare la convalida della catena di certificati quando si usa, ad esempio, un certificato autofirmato, seguire i passaggi descritti in questa voce delle Domande frequenti.

Eliminare un certificato client

Per eliminare un certificato, fare clic su Elimina accanto al certificato desiderato.

Eliminazione di un certificato

Fare clic su Sì, elimina per confermare.

Conferma dell'eliminazione

Se il certificato è in uso da parte di un'API, verrà visualizzata una schermata di avviso. Per eliminare il certificato è necessario prima rimuoverlo da tutte le API configurate per il suo uso.

Conferma dell'eliminazione

Configurare un'API per l'uso di un certificato client per l'autenticazione gateway

Fare clic su API dal menu Gestione API a sinistra, fare clic sul nome dell'API desiderata, quindi sulla scheda Sicurezza.

Sicurezza API

Selezionare Certificati client dall'elenco a discesa Con credenziali.

Certificati client

Selezionare il certificato desiderato dall'elenco a discesa Certificato client . Se esistono diversi certificati, fare riferimento all'oggetto o agli ultimi quattro caratteri dell'identificazione personale, come spiegato nella sezione precedente, per determinare il certificato corretto.

Selezione del certificato

Fare clic su Salva per salvare la modifica di configurazione nell'API.

Questa modifica ha effetto immediato e le chiamate alle operazioni di quell'API useranno il certificato per autenticarsi sul server back-end.

Salvataggio delle modifiche API

Quando un certificato è specificato per l'autenticazione gateway del servizio back-end di un'API, diventa parte dei criteri di quell'API e può essere visualizzato nell'editor dei criteri.

Criteri dei certificati

Passaggi successivi

Per ulteriori informazioni su altri modi per proteggere il servizio back-end, ad esempio autenticazione HTTP di base o segreto condiviso, vedere il video seguente.