Sdílet prostřednictvím


Authenticate with client certificate

PLATÍ PRO: Všechny úrovně služby API Management

Použijte zásadu authentication-certificate k ověření v back-endové službě pomocí klientského certifikátu. Když se certifikát nainstaluje do služby API Management , nejprve ho identifikujte kryptografickým otiskem nebo ID certifikátu (název_prostředku).

Upozornění

Minimalizujte rizika vystavení přihlašovacích údajů při konfiguraci této zásady. Microsoft doporučuje používat bezpečnější metody ověřování, pokud je podporováno back-endem, jako je ověřování spravované identity nebo správce přihlašovacích údajů. Pokud v definicích zásad nakonfigurujete citlivé informace, doporučujeme používat pojmenované hodnoty a ukládat tajné kódy ve službě Azure Key Vault.

Upozornění

Pokud certifikát odkazuje na certifikát uložený ve službě Azure Key Vault, identifikujte ho pomocí ID certifikátu. Při obměně certifikátu trezoru klíčů se jeho kryptografický otisk ve službě API Management změní a zásada nový certifikát nevyřeší, pokud je identifikovaný kryptografickým otiskem.

Poznámka:

Nastavte prvky zásad a podřízené prvky v pořadí uvedeném v prohlášení o zásadách. Přečtěte si další informace o tom, jak nastavit nebo upravit zásady služby API Management.

Prohlášení o zásadách

<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>

Atributy

Atribut Popis Požaduje se Výchozí
otisk palce Kryptografický otisk klientského certifikátu. Výrazy zásad jsou povolené. Buď thumbprint nebo certificate-id může být přítomna.
id certifikátu Název prostředku certifikátu. Výrazy zásad jsou povolené. Buď thumbprint nebo certificate-id může být přítomna.
text Klientský certifikát jako pole bajtů. Použijte, pokud se certifikát nenačítá z integrovaného úložiště certifikátů. Výrazy zásad jsou povolené. No
Heslo Heslo pro klientský certifikát. Výrazy zásad jsou povolené. Použijte, pokud je certifikát zadaný v body heslem chráněný.

Využití

Poznámky k využití

  • Doporučujeme nakonfigurovat certifikáty trezoru klíčů pro správu certifikátů používaných k zabezpečení přístupu k back-endovým službám.
  • Pokud v této zásadě nakonfigurujete heslo certifikátu, doporučujeme použít pojmenovanou hodnotu.

Příklady

Klientský certifikát identifikovaný ID certifikátu

<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />  

Klientský certifikát identifikovaný kryptografickým otiskem

<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />

Klientský certifikát nastavený v zásadách místo načtení z integrovaného úložiště certifikátů

<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />

Další informace o práci se zásadami najdete v tématech: