Sdílet prostřednictvím

Zásady ověření identity verze 1.0

  • Článek

Vlastníci instancí můžou pomocí zásad ověřování Azure definovat, co se musí ověřit během toku ověření identity. Tento článek představuje práci služby ověření identity a modulu zásad. Každý typ ověření identity má vlastní zásady ověření identity. Podporovaná gramatika a zpracování jsou obecně stejné.

Zásady verze 1.0

Minimální verze zásad podporovaných službou je verze 1.0.

Diagram znázorňující ověření identity Azure pomocí zásad verze 1.0

Tok služby ověření identity je následující:

  • Platforma odešle důkaz o ověření identity v ověření volání do služby ověření identity.
  • Služba ověření identity analyzuje důkazy a vytvoří seznam deklarací identity, které se používají při vyhodnocení ověření identity. Tyto deklarace identity jsou logicky kategorizovány jako příchozí sady deklarací identity.
  • Nahrané zásady ověření identity slouží k vyhodnocení důkazů nad pravidly vytvořenými v zásadách ověření identity.

Zásada verze 1.0 má tři segmenty:

  • version: Verze je číslo verze gramatiky, která následuje.
  • autorizační pravidla: Kolekce pravidel deklarací identity, která se kontrolují jako první, aby určila, jestli má ověření identity pokračovat k vystavování pravidel. V této části můžete vyfiltrovat volání, která nevyžadují použití pravidel vystavování. V této části nelze vygenerovat žádné deklarace identity tokenu odpovědi. Tato pravidla se dají použít k selhání ověření identity.
  • pravidla vystavování: Kolekce pravidel deklarací identity, která se vyhodnocují pro přidání informací do výsledku ověření identity podle definice v zásadách. Pravidla deklarací identity platí v pořadí, ve kterém jsou definována. Jsou také volitelné. Tato pravidla lze použít k přidání do odchozí sady deklarací identity a tokenu odpovědi. Tato pravidla se nedají použít k selhání ověření identity.

Následující deklarace identity jsou podporovány zásadami verze 1.0 jako součást příchozích deklarací identity.

Osvědčení TPM

Pomocí těchto deklarací identity definujte autorizační pravidla v zásadách ověření identity čipu TPM (Trusted Platform Module):

  • aikValidated: Logická hodnota, která obsahuje informace, pokud byl certifikát AIK (Attestation Identity Key) ověřen nebo ne.
  • aikPubHash: Řetězec, který obsahuje veřejný klíč AIK base64 (SHA256) ve formátu DER.
  • tpmVersion: Celočíselná hodnota, která obsahuje hlavní verzi TPM.
  • secureBootEnabled: Logická hodnota označující, jestli je povolené zabezpečené spouštění.
  • iommuEnabled:Logická hodnota, která označuje, jestli je povolená jednotka pro správu paměti vstupního výstupu.
  • bootDebuggingDisabled: Logická hodnota označující, jestli je ladění spouštění zakázané.
  • notSafeMode: Logická hodnota, která označuje, jestli systém Windows není spuštěný v nouzovém režimu.
  • notWinPE: Logická hodnota, která označuje, jestli Windows není spuštěný v režimu WinPE.
  • vbsEnabled: Logická hodnota, která označuje, jestli je povolené zabezpečení založené na virtualizaci (VBS).
  • vbsReportPresent: Logická hodnota, která označuje, jestli je k dispozici sestava enklávy VBS.

Ověření identity VBS

K definování autorizačních pravidel v zásadách ověřování VBS použijte následující deklarace identity:

  • enclaveAuthorId: Řetězcová hodnota, která obsahuje zakódovanou hodnotu Base64Url ID autora enklávy. Je to identifikátor autora primárního modulu pro enklávu.
  • enclaveImageId: Řetězcová hodnota, která obsahuje zakódovanou hodnotu Base64Url ID obrázku enklávy. Je to identifikátor obrázku primárního modulu pro enklávu.
  • enclaveOwnerId: Řetězcová hodnota, která obsahuje zakódovanou hodnotu Base64Url ID vlastníka enklávy. Je to identifikátor vlastníka enklávy.
  • enclaveFamilyId: Řetězcová hodnota, která obsahuje zakódovanou hodnotu Base64Url ID rodiny enklávy. Jedná se o identifikátor rodiny primárního modulu pro enklávu.
  • enclaveSvn: Celočíselná hodnota, která obsahuje číslo verze zabezpečení primárního modulu pro enklávu.
  • enclavePlatformSvn: Celočíselná hodnota, která obsahuje číslo verze zabezpečení platformy, která je hostitelem enklávy.
  • enclaveFlags: Deklarace identity enclaveFlags je celočíselná hodnota, která obsahuje příznaky, které popisují zásady modulu runtime pro enklávu.

Ukázkové zásady pro různé typy ověření identity

Ukázková zásada pro TPM:

version=1.0;

authorizationrules { 
    => permit();
};


issuancerules
{
[type=="aikValidated", value==true]&& 
[type=="secureBootEnabled", value==true] &&
[type=="bootDebuggingDisabled", value==true] && 
[type=="notSafeMode", value==true] => issue(type="PlatformAttested", value=true);
};