Důvěryhodné podpisové prostředky a role
Důvěryhodné podepisování je nativní prostředek Azure, který nabízí plnou podporu běžných konceptů Azure, jako jsou prostředky. Stejně jako u jakéhokoli jiného prostředku Azure má důvěryhodné podepisování vlastní sadu prostředků a rolí, které jsou navržené tak, aby zjednodušily správu služby.
Tento článek vás seznámí s prostředky a rolemi, které jsou specifické pro důvěryhodné podepisování.
Typy důvěryhodných podpisových prostředků
Důvěryhodné podepisování má následující typy prostředků:
Důvěryhodný podpisový účet: Účet je logický kontejner všech prostředků, které potřebujete k dokončení podepisování a správě řízení přístupu k citlivým prostředkům.
Ověření identity: Ověření identity před podepsáním kódu provádí ověření vaší organizace nebo individuální identity. Ověřená organizace nebo jednotlivá identita je zdrojem atributů pro hodnoty rozlišujícího názvu subjektu certifikátu (například
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Role ověřování identit se přiřazují identitám tenantů, aby se tyto prostředky vytvořily.Profily certifikátů: Profil certifikátu je atributy konfigurace, které generují certifikáty, které používáte k podepisování kódu. Definuje také model důvěryhodnosti a scénář, podle kterého se podepsaný obsah využívá předávajícími stranami. Podpisové role jsou k tomuto prostředku přiřazeny k autorizaci identit tenanta k vyžádání podepisování. Předpokladem pro vytvoření libovolného profilu certifikátu je dokončení alespoň jedné žádosti o ověření identity.
V následující ukázkové struktuře má předplatné Azure skupinu prostředků. Ve skupině prostředků můžete mít jeden nebo mnoho prostředků důvěryhodného podpisového účtu s jedním nebo mnoha ověřeními identity a profily certifikátů.
Služba podporuje typy podepisování veřejného vztahu důvěryhodnosti, privátní důvěryhodnosti, zásady integrity kódu (CI), enkláva založené na virtualizaci (VBS) a typy podepisování testů veřejného vztahu důvěryhodnosti, takže je užitečné mít více důvěryhodných podpisových účtů a profilů certifikátů. Další informace o typech profilů certifikátů a jejich použití najdete v tématu Typy a správa důvěryhodných podpisových certifikátů.
Poznámka:
Ověřování identit a profily certifikátů jsou v souladu s veřejným vztahem důvěryhodnosti nebo privátním vztahem důvěryhodnosti. Ověření identity veřejného vztahu důvěryhodnosti se používá jenom pro profily certifikátů, které se používají pro model veřejného vztahu důvěryhodnosti. Další informace naleznete v tématu Důvěryhodné podpisové důvěryhodné modely.
Důvěryhodný podpisový účet
Důvěryhodný podpisový účet je logický kontejner prostředků, které slouží k dokončení podepisování certifikátů. Důvěryhodné podpisové účty se dají použít k definování hranic projektu nebo organizace. Pro většinu může jeden důvěryhodný podpisový účet splňovat všechny potřeby podepisování pro jednotlivce nebo organizaci. Možná budete chtít podepsat mnoho artefaktů distribuovaných stejnou identitou (například Contoso News, LLC), ale z provozu může existovat hranice, které chcete nakreslit z hlediska přístupu k podepisování. Můžete se rozhodnout, že budete mít důvěryhodný podpisový účet pro jednotlivé produkty nebo týmy, abyste izolovali způsob použití účtu nebo sledování podepisování. Tento model izolace však můžete dosáhnout i na úrovni profilu certifikátu.
Ověřování identit
Ověření identity se týká vytvoření identity na certifikátech, které se používají k podepisování. Existují dva typy: veřejný vztah důvěryhodnosti a privátní vztah důvěryhodnosti. Definice těchto dvou typů je úroveň ověřování identity potřebná k dokončení vytváření prostředku ověření identity.
Veřejný vztah důvěryhodnosti znamená, že všechny hodnoty identit musí být ověřeny v souladu s prohlášením o certifikačním postupu třetích stran (CPS) služeb PKI Services společnosti Microsoft. Tento požadavek odpovídá očekáváním pro veřejně důvěryhodné podpisové certifikáty kódu.
Privátní vztah důvěryhodnosti je určený pro situace, kdy existuje zavedený vztah důvěryhodnosti privátní identity mezi jednou nebo mnoha předávajícími stranami (příjemci podpisů) nebo interně ve scénářích řízení aplikací nebo obchodních (LOB). Ověření identity privátní důvěryhodnosti má minimální ověření atributů identity (například
Organization Unithodnotu). Ověření je úzce spojené s tenantem Azure odběratele (napříkladContoso.onmicrosoft.com). Hodnoty v profilech certifikátů privátní důvěryhodnosti se neověřují nad rámec informací o tenantovi Azure.
Další informace o veřejné důvěryhodnosti a privátní důvěryhodnosti naleznete v tématu Důvěryhodné podpisové vztahy důvěryhodnosti modely.
Profily certifikátu
Důvěryhodné podepisování poskytuje pět typů profilů certifikátů, které můžou všichni předplatitelé používat s odpovídajícími a dokončenými prostředky ověření identity. Těchto pět profilů certifikátů je v souladu s ověřováním identity veřejného vztahu důvěryhodnosti nebo privátní důvěryhodnosti následujícím způsobem:
-
Veřejný vztah důvěryhodnosti
Veřejný vztah důvěryhodnosti: Slouží k podepisování kódu a artefaktů, které je možné veřejně distribuovat. Tento profil certifikátu je na platformě Windows standardně důvěryhodný pro podepisování kódu.
Enkláva VBS: Používá se k podepisování enkláv zabezpečení založených na virtualizaci ve Windows.
Test veřejného vztahu důvěryhodnosti: Používá se jenom pro podepisování testů a ve výchozím nastavení nejsou veřejně důvěryhodné. Zvažte profily certifikátů testu veřejného vztahu důvěryhodnosti jako skvělou možnost pro podepisování sestavení vnitřní smyčky.
Poznámka:
Všechny certifikáty v rámci typu profilu certifikátu testu veřejného vztahu důvěryhodnosti zahrnují životnost EKU (
1.3.6.1.4.1.311.10.3.13), která vynutí ověření respektovat životnost podpisového certifikátu bez ohledu na přítomnost platného časového razítka protisignature.
-
Privátní vztah důvěryhodnosti
- Privátní vztah důvěryhodnosti: Slouží k podepisování interních nebo privátních artefaktů, jako jsou obchodní aplikace a kontejnery. Můžete ho také použít k podepisování souborů katalogu v Řízení aplikací pro firmy.
-
Zásady CI privátního vztahu důvěryhodnosti: Profil certifikátu zásad CI privátního vztahu důvěryhodnosti je jediný typ, který neobsahuje podpis kódu EKU (
1.3.6.1.5.5.7.3.3). Tento profil certifikátu je určený pro podepisování souborů zásad CI pro správu aplikací.
Podporované role
Řízení přístupu na základě role (RBAC) je základním kamenem pro všechny prostředky Azure. Důvěryhodné podepisování přidává dvě vlastní role, které vyhovují potřebám předplatitele pro vytvoření ověření identity (role Ověření důvěryhodné podpisové identity) a podepisování pomocí profilů certifikátů (role podepisujícího profilu důvěryhodného podpisového certifikátu). Tyto vlastní role musí být explicitně přiřazeny k provádění těchto dvou důležitých funkcí při používání důvěryhodného podepisování. Následující tabulka obsahuje úplný seznam rolí, které důvěryhodné podepisování podporuje, a jejich schopnosti, včetně všech standardních rolí Azure.
| Role | Správa a zobrazení účtu | Správa profilů certifikátů | Podepsání pomocí profilu certifikátu | Zobrazení historie podepisování | Správa přiřazení role | Správa ověřování identit |
|---|---|---|---|---|---|---|
| Důvěryhodný ověřovatelpodpisové identity 1 | X | |||||
| Podepisujícíprofil důvěryhodného podpisového certifikátu 2 | X | X | ||||
| Vlastník | X | X | X | |||
| Přispěvatel | X | X | ||||
| Čtenář | X | |||||
| Správce přístupu uživatelů | X |
1 Vyžaduje se k vytvoření nebo správě ověření identity. K dispozici pouze na webu Azure Portal.
2 Vyžaduje se k úspěšnému podepsání pomocí důvěryhodného podepisování.
Související obsah
- Dokončete rychlý start a nastavte důvěryhodné podepisování.
- Přečtěte si o modelech důvěryhodnosti důvěryhodného podepisování.
- Projděte si koncept důvěryhodných podpisových certifikátů a správy .