Sdílet prostřednictvím


Jak vytvořit zásadu ověření identity

Zásady ověření identity jsou soubor nahraný do ověření identity Microsoft Azure. Azure Attestation nabízí flexibilitu pro nahrání zásad ve formátu zásad specifickém pro ověření identity. Případně se dá nahrát také zakódovaná verze zásad ve webovém podpisu JSON. Správce zásad zodpovídá za zápis zásad ověření identity. Ve většině scénářů ověření identity funguje předávající strana jako správce zásad. Klient, který provádí volání ověření identity, odesílá důkaz o ověření identity, který služba analyzuje a převádí na příchozí deklarace identity (sadu vlastností, hodnotu). Služba pak zpracuje deklarace identity na základě toho, co je definováno v zásadách, a vrátí vypočítaný výsledek.

Tato zásada obsahuje pravidla, která určují autorizační kritéria, vlastnosti a obsah tokenu ověření identity:

version=1.0;
authorizationrules
{
    c:[type="secureBootEnabled", issuer=="AttestationService"]=> permit()
};

issuancerules
{
    c:[type="secureBootEnabled", issuer=="AttestationService"]=> issue(claim=c)
    c:[type="notSafeMode", issuer=="AttestationService"]=> issue(claim=c)
};

Soubor zásad má tři segmenty:

  • version: Verze je číslo verze gramatiky, která následuje.
    version=MajorVersion.MinorVersion	
    
    Aktuálně je podporovaná pouze verze 1.0.
  • autorizační pravidla: Kolekce pravidel deklarací identity, která se kontrolují jako první, a určete, jestli má ověření identity Azure pokračovat k vystavování pravidel. Pravidla deklarací identity platí v pořadí, v jakém jsou definovaná.
  • pravidla vystavování: Kolekce pravidel deklarací identity, která se vyhodnocují, aby se do výsledku ověření identity přidaly další informace definované v zásadách. Pravidla deklarací identity platí v pořadí, ve kterém jsou definovaná, a jsou také volitelná.

Další informace najdete v tématu Deklarace identity a pravidla deklarací identity.

Vytvoření souboru zásad

  1. Vytvořte nový soubor.
  2. Přidejte do souboru verzi.
  3. Přidejte oddíly pro autorizační pravidla a pravidla vystavování.
    version=1.0;
    authorizationrules
    {
    =>deny();
    };
    
    issuancerules
    {
    };
    
    Autorizační pravidla obsahují akci odepřít() bez jakékoli podmínky, aby se zajistilo, že se nezpracují žádná pravidla vystavování. Autorizační pravidlo může také obsahovat akci permit(), která umožňuje zpracování pravidel vystavování.
  4. Přidání pravidel deklarací identity do autorizačních pravidel
    version=1.0;
    authorizationrules
    {
        [type=="secureBootEnabled", value==true, issuer=="AttestationService"]=>permit();
    };
    
    issuancerules
    {
    };
    
    Pokud příchozí sada deklarací identity obsahuje deklaraci identity odpovídající typu, hodnotě a vystavitele, akce permit() modulu zásad řekne, aby zpracovával pravidla vystavování.
  5. Přidejte pravidla deklarací identity do pravidel vystavování.
    version=1.0;
    authorizationrules
    {
        [type=="secureBootEnabled", value==true, issuer=="AttestationService"]=>permit();
    };
    
    issuancerules
    {
        => issue(type="SecurityLevelValue", value=100);
    };
    
    Sada odchozích deklarací identity obsahuje deklaraci identity s:
    [type="SecurityLevelValue", value=100, valueType="Integer", issuer="AttestationPolicy"]
    
    Složité zásady se dají vytvořit podobným způsobem. Další informace najdete v příkladech zásad ověření identity.
  6. Uložte soubor.

Vytvoření souboru zásad ve formátu webového podpisu JSON

Po vytvoření souboru zásad nahrajte zásadu ve formátu JSON Web Signature (JWS) podle následujících kroků.

  1. Vygenerujte JWS RFC7515 se zásadou (zakódovanou utf-8) jako datovou částí. Identifikátor datové části pro zásadu s kódováním Base64Url by měl být AttestationPolicy.

    Ukázka JWT:

    Header: {"alg":"none"}
    Payload: {"AttestationPolicy":" Base64Url (policy)"}
    Signature: {}
    
    JWS format: eyJhbGciOiJub25lIn0.XXXXXXXXX.
    
  2. Podepište zásadu (volitelné). Ověření identity Azure podporuje následující algoritmy:

    • Žádné: Nepodepisujte datovou část zásad.
    • RS256: Podporovaný algoritmus pro podepsání datové části zásad
  3. Nahrajte JWS a ověřte zásadu.

    • Pokud soubor zásad není chybou syntaxe, služba přijme soubor zásad.
    • Pokud soubor zásad obsahuje chyby syntaxe, služba soubor zásad odmítne.

Další kroky