Workflow

Microsoft Azure Doğrulama kuşatmalardan kanıt alır ve kanıtı Azure güvenlik temeli ve yapılandırılabilir ilkelere göre değerlendirir. Doğrulama başarılı olursa Azure Doğrulama, kapanım güvenilirliğini onaylamak için bir kanıtlama belirteci oluşturur.

Aşağıdaki aktörler bir Azure Doğrulama iş akışında yer almaktadır:

• Bağlı taraf: Kapanım geçerliliğini doğrulamak için Azure Doğrulama kullanan bileşen.
• İstemci: Bir kapanımdan bilgi toplayan ve Azure Doğrulama istekleri gönderen bileşen.
• Azure Doğrulama: İstemciden kapanım kanıtını kabul eden, doğrulayan ve kanıtlama belirtecini istemciye döndüren bileşen

Intel® Software Guard Uzantıları (SGX) kapanım doğrulama iş akışı

Tipik bir SGX kapanım kanıtlama iş akışındaki (Azure Doğrulama kullanarak) genel adımlar şunlardır:

1. İstemci bir kapanımdan kanıt toplar. Kanıt, kapanım ortamı ve kapanım içinde çalışan istemci kitaplığı hakkındaki bilgilerdir
2. İstemci, Azure Doğrulama örneğine başvuran bir URI'ye sahiptir. İstemci Azure Doğrulama'a kanıt gönderir. Sağlayıcıya gönderilen tam bilgiler, kapanım türüne bağlıdır
3. Azure Doğrulama gönderilen bilgileri doğrular ve yapılandırılmış bir ilkeye göre değerlendirir. Doğrulama başarılı olursa Azure Doğrulama bir kanıtlama belirteci verir ve istemciye döndürür. Bu adım başarısız olursa, Azure Doğrulama istemciye bir hata bildirir
4. İstemci kanıtlama belirtecini bağlı olan tarafa gönderir. Bağlı olan taraf, imzalama sertifikalarını almak için Azure Doğrulama ortak anahtar meta veri uç noktasını çağırır. Bağlı olan taraf daha sonra kanıtlama belirtecinin imzasını doğrular ve kapanım güvenilirliğini sağlar

Dekont

2018-09-01-preview API sürümünde kanıtlama istekleri gönderdiğinizde, istemcinin Microsoft Entra erişim belirteciyle birlikte Azure Doğrulama için kanıt göndermesi gerekir.

Güvenilen Platform Modülü (TPM) kapanım doğrulama iş akışı

Tipik bir TPM kapanım kanıtlama iş akışındaki (Azure Doğrulama kullanarak) genel adımlar şunlardır:

1. Cihaz/platform önyüklemesinde, çeşitli önyükleme yükleyicileri ve önyükleme hizmetleri TPM tarafından yedeklenen olayları ölçer ve bunları TCG günlükleri olarak güvenli bir şekilde depolar. İstemci, TCG günlüklerini cihazdan ve TPM teklifinden toplar ve bu da kanıtlama için kanıt oluşturur.
2. İstemci, Microsoft Entra Kimliği'nin kimliğini doğrular ve bir erişim belirteci alır.
3. İstemci, Azure Doğrulama örneğine başvuran bir URI'ye sahiptir. İstemci, kanıtı ve Microsoft Entra erişim belirtecini Azure Doğrulama gönderir. Sağlayıcıya gönderilen tam bilgiler platforma bağlıdır.
4. Azure Doğrulama gönderilen bilgileri doğrular ve yapılandırılmış bir ilkeye göre değerlendirir. Doğrulama başarılı olursa Azure Doğrulama bir kanıtlama belirteci verir ve istemciye döndürür. Bu adım başarısız olursa, Azure Doğrulama istemciye bir hata bildirir. İstemci ve kanıtlama hizmeti arasındaki iletişim, Azure kanıtlama TPM protokolü tarafından dikte edilir.
5. İstemci daha sonra kanıtlama belirtecini bağlı olan tarafa gönderir. Bağlı olan taraf, imzalama sertifikalarını almak için Azure Doğrulama ortak anahtar meta veri uç noktasını çağırır. Ardından bağlı olan taraf kanıtlama belirtecinin imzasını doğrular ve platformun güvenilirliğini güvence altına alır.

Sonraki adımlar

• Kanıtlama ilkesi yazma ve imzalama
• PowerShell kullanarak Azure Doğrulama ayarlama