Azure Key Vault'da kimlik doğrulaması
kimlik Key Vault, herhangi bir güvenlik Azure Active Directory kimliğini doğrulamadan sorumlu olan Azure Active Directory (Azure AD)ile birlikte çalışır.
Güvenlik sorumlusu, Azure kaynaklarına erişim isteği olan bir kullanıcı, grup, hizmet veya uygulamayı temsil eden bir nesnedir. Azure, her güvenlik sorumlusuna benzersiz bir nesne kimliği atar.
Kullanıcı güvenlik sorumlusu, kullanıcı güvenlik sorumlusunda profili olan bir Azure Active Directory.
Grup güvenlik sorumlusu, güvenlik sorumlusunda oluşturulan bir kullanıcı Azure Active Directory. Gruba atanan tüm roller veya izinler, gruptaki tüm kullanıcılara atanır.
Hizmet sorumlusu, kullanıcı veya grup yerine bir kod parçası olan bir uygulamayı veya hizmeti tanımlayan bir güvenlik sorumlusu t terkidir. Hizmet sorumlusu nesne kimliği, istemci kimliği olarak bilinir ve kullanıcı adı gibi davranır. Hizmet sorumlusunın gizli parolası, parolası gibi davranır.
Uygulamalar için hizmet sorumlusu elde etmenin iki yolu vardır:
Önerilen: Uygulama için sistem tarafından atanan yönetilen kimliği etkinleştirin.
Yönetilen kimlikle, Azure uygulamanın hizmet sorumlularını dahili olarak yönetir ve uygulamanın kimliğini diğer Azure hizmetleriyle otomatik olarak doğrular. Yönetilen kimlik, çeşitli hizmetlere dağıtılan uygulamalar için kullanılabilir.
Daha fazla bilgi için bkz. Yönetilen kimliğe genel bakış. Ayrıca, belirli hizmetler (App Service, Azure İşlevleri, Sanal Makineler vb.) için yönetilen kimliği etkinleştirmeyi açıklayan makalelere bağlantı sağlayan yönetilen kimliği destekleyen Azurehizmetleri makalelerine bakın.
Yönetilen kimliği kullanasanız, uygulamayı Hızlı Başlangıç: Azure kimlik platformu ile kaydetme konusunda açıklandığı gibi Azure AD kiracınıza kaydetmeniz gerekir. Kayıt Ayrıca, tüm kiracıların genelinde uygulamayı tanımlayan ikinci bir uygulama nesnesi oluşturur.
Key Vault güvenlik duvarını yapılandırma
Varsayılan olarak, Key Vault genel IP adresleri aracılığıyla kaynaklara erişime izin verir. Daha fazla güvenlik için belirli IP aralıklarına, hizmet uç noktalarına, sanal ağlara veya özel uç noktalara erişimi de kısıtlayabilirsiniz.
Daha fazla bilgi için bkz. erişim Azure Key Vault bir güvenlik duvarı arkasında.
Kimlik doğrulamasıyla Key Vault isteği işlemi akışı
Key Vault kimlik doğrulaması, Key Vault her istek işleminin bir parçası olarak oluşur. Belirteç alındıktan sonra, sonraki çağrılar için yeniden kullanılabilir. Kimlik doğrulama akışı örneği:
Azure AD ile kimlik doğrulaması yapmak için bir belirteç istekleri, örneğin:
- Yönetilen kimliğe sahip bir sanal makine veya App Service uygulaması gibi bir Azure kaynağı, bir erişim belirteci almak için REST uç noktasıyla iletişim kurar.
- Kullanıcı Kullanıcı adı ve parola kullanarak Azure portal oturum açar.
Azure AD ile kimlik doğrulaması başarılı olursa, güvenlik sorumlusuna bir OAuth belirteci verilir.
Key Vault uç noktası (URI) üzerinden REST API Key Vault çağrısı.
Key Vault güvenlik duvarı aşağıdaki ölçütleri denetler. Herhangi bir ölçüt karşılanırsa, çağrıya izin verilir. Aksi takdirde, çağrı engellenir ve yasaklanmış bir yanıt döndürülür.
- Güvenlik duvarı devre dışı bırakılır ve Key Vault genel uç noktasına genel İnternet üzerinden erişilebilir.
- Çağıran Key Vault güvenilir bir hizmettirve güvenlik duvarının atlanmasını sağlar.
- Arayan, IP adresi, sanal ağ veya hizmet uç noktası tarafından güvenlik duvarında listelenir.
- Çağıran, yapılandırılmış Key Vault bağlantı üzerinden bağlantılara ulaşabilir.
Güvenlik duvarı çağrıya izin Key Vault güvenlik sorumlusu erişim belirteci doğrulamak için Azure AD'ye çağrır.
Key Vault, güvenlik sorumlusuna istenen işlem için gerekli iznin olup olduğunu denetler. Yoksa, Key Vault bir yanıt döndürür.
Key Vault işlemi yürüten ve sonucu döndürür.
Aşağıdaki diyagramda, "Gizli Bilgi Al" API'sini Key Vault çağıran bir uygulamanın işlemi göstermektedir:
Not
Key Vault, sertifikalar ve anahtarlar için sdk istemcileri, erişim belirteci olmadan Key Vault'a ek bir çağrıda bulundurarak kiracı bilgilerini almak için 401 yanıtı verir. Daha fazla bilgi için bkz. Kimlik doğrulaması, istekler ve yanıtlar
Uygulama kodunda Key Vault kimlik doğrulaması
Key Vault SDK, aynı koda sahip ortamlarda sorunsuz kimlik doğrulamasına olanak Key Vault Azure Identity istemci kitaplığını kullanıyor
Azure Identity istemci kitaplıkları
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Kimlik SDK'sı Python | Azure Kimlik SDK'sı Java | Azure Kimlik SDK'sı JavaScript |
En iyi yöntemler ve geliştirici örnekleri hakkında daha fazla bilgi için bkz. Kodda Key Vault kimlik doğrulaması