Accedere a Insieme di credenziali delle chiavi di Azure protetto da firewall

D: L'applicazione client dell'insieme di credenziali delle chiavi deve essere protetta da firewall. Quali porte, host o indirizzi IP è necessario aprire per consentire l'accesso a un insieme di credenziali delle chiavi?

Per accedere a un insieme di credenziali delle chiavi, l'applicazione client dell'insieme di credenziali delle chiavi deve poter accedere a più endpoint per varie funzionalità:

  • Autenticazione tramite Azure Active Directory (Azure AD).
  • Gestione di Insieme di credenziali delle chiavi di Azure, inclusa la creazione, la lettura, l'aggiornamento, l'eliminazione e l'impostazione dei criteri di accesso tramite Azure Resource Manager.
  • Accesso e gestione di oggetti (chiavi e segreti) archiviati nell'insieme di credenziali delle chiavi eseguiti tramite l'endpoint specifico dell'insieme di credenziali delle chiavi, ad esempio https://nomeinsiemecredenziali.vault.azure.net.

Esistono alcune varianti a seconda della configurazione e dell'ambiente.

Porte

Tutto il traffico verso un insieme di credenziali delle chiavi per tutte e tre le funzioni (autenticazione, gestione e accesso al piano dati) passa per la porta HTTPS 443. Verrà tuttavia generato occasionalmente traffico HTTP (porta 80) per CRL. I client che supportano OCSP non devono raggiungere CRL, ma possono in alcuni casi raggiungere http://cdp1.public-trust.com/CRL/Omniroot2025.crl.

Autenticazione

Le applicazioni client dell'insieme di credenziali delle chiavi dovrà accedere agli endpoint di Azure Active Directory per l'autenticazione. L'endpoint usato dipende dalla configurazione del tenant di Azure AD, dal tipo di entità (entità utente o entità servizio) e dal tipo di account, ad esempio account Microsoft o account aziendale o dell'istituto di istruzione.

Tipo di entità Endpoint:porta
Utente che usa un account Microsoft
(ad esempio, user@hotmail.com)
Globale:
login.microsoftonline.com:443

Azure per la Cina:
login.chinacloudapi.cn:443

Azure per enti pubblici statunitensi:
login-us.microsoftonline.com:443

Azure per la Germania:
login.microsoftonline.de:443

e
login.live.com:443
Utente o entità servizio che usa un account aziendale o dell'istituto di istruzione con Azure AD (ad esempio, user@contoso.com) Globale:
login.microsoftonline.com:443

Azure per la Cina:
login.chinacloudapi.cn:443

Azure per enti pubblici statunitensi:
login-us.microsoftonline.com:443

Azure per la Germania:
login.microsoftonline.de:443
Utente o entità servizio che usa un account aziendale o dell'istituto di istruzione oltre ad Active Directory Federation Services (AD FS) o un altro endpoint federato (ad esempio, user@contoso.com) Tutti gli endpoint per un account aziendale o dell'istituto di istruzione oltre ad AD FS o altri endpoint federati

Esistono altri possibili scenari complessi. Per altre informazioni, vedere Azure Active Directory Authentication Flow (Flussi di autenticazione di Azure Active Directory), Integrazione di applicazioni con Azure Active Directory e Active Directory Authentication Protocols (Protocolli di autenticazione di Active Directory Authentication).

Gestione dell'insieme di credenziali delle chiavi

Per la gestione dell'insieme di credenziali delle chiavi (CRUD e impostazione dei criteri di accesso), l'applicazione client dell'insieme di credenziali delle chiavi deve accedere all'endpoint di Azure Resource Manager.

Tipo di operazione Endpoint:porta
Operazioni del piano di controllo dell'insieme di credenziali delle chiavi
tramite Azure Resource Manager
Globale:
management.azure.com:443

Azure per la Cina:
management.chinacloudapi.cn:443

Azure per enti pubblici statunitensi:
management.usgovcloudapi.net:443

Azure per la Germania:
management.microsoftazure.de:443
API Graph di Azure Active Directory Globale:
graph.windows.net:443

Azure per la Cina:
graph.chinacloudapi.cn:443

Azure per enti pubblici statunitensi:
graph.windows.net:443

Azure per la Germania:
graph.cloudapi.de:443

Operazioni dell'insieme di credenziali delle chiavi

Per tutte le operazioni di gestione e crittografia degli oggetti (chiavi e segreti) dell'insieme di credenziali delle chiavi, il client dell'insieme di credenziali delle chiavi deve accedere all'endpoint dell'insieme stesso. Il suffisso DNS dell'endpoint varia a seconda della posizione dell'insieme di credenziali delle chiavi. Il formato dell'endpoint dell'insieme di credenziali delle chiavi è nome-insiemecredenziali.suffisso-dns-area-geografica, come descritto nella tabella seguente.

Tipo di operazione Endpoint:porta
Operazioni come crittografia sulle chiavi; creazione, lettura, aggiornamento ed eliminazione di chiavi e segreti; impostazione o definizione di tag e altri attributi per gli oggetti dell'insieme di credenziali delle chiavi (chiavi o segreti) Globale:
<nome-insiemecredenziali>.vault.azure.net:443

Azure per la Cina:
<nome-insiemecredenziali>.vault.azure.cn:443

Azure per enti pubblici statunitensi:
<nome-insiemecredenziali>.vault.usgovcloudapi.net:443

Azure per la Germania:
<nome-insiemecredenziali>.vault.microsoftazure.de:443

Intervalli di indirizzi IP

Il servizio Insieme di credenziali delle chiavi usa altre risorse di Azure come l'infrastruttura PaaS. Non è quindi possibile fornire uno specifico intervallo di indirizzi IP disponibile per gli endpoint del servizio Insieme di credenziali delle chiavi in un determinato momento. Se il firewall supporta solo gli intervalli di indirizzi IP, vedere il documento Microsoft Azure Datacenter IP Ranges (Intervalli di indirizzi IP del data center di Azure). Per l'autenticazione e l'identità (Azure Active Directory), l'applicazione deve potersi connettere agli endpoint descritti in Authentication and identity addresses (Indirizzi di identità e autenticazione).

Passaggi successivi

In caso di domande sull'insieme di credenziali delle chiavi, visitare i forum di Insieme di credenziali delle chiavi di Azure.