Ověřování ve službě Azure Key Vault
Ověřování pomocí služby Key Vault funguje s ID Microsoft Entra, které zodpovídá za ověření identity jakéhokoli daného objektu zabezpečení.
Pro aplikace existují dva způsoby získání instančního objektu:
Povolte spravovanou identitu přiřazenou systémem pro aplikaci. Se spravovanou identitou Azure interně spravuje instanční objekt aplikace a automaticky ověřuje aplikaci s jinými službami Azure. Spravovaná identita je dostupná pro aplikace nasazené do různých služeb.
Pokud nemůžete použít spravovanou identitu, zaregistrujte místo toho aplikaci ve svém tenantovi Microsoft Entra. Registrace také vytvoří druhý objekt aplikace, který identifikuje aplikaci ve všech tenantech.
Poznámka:
Doporučuje se použít spravovanou identitu přiřazenou systémem.
Následuje informace o ověřování ve službě Key Vault bez použití spravované identity.
Ověřování ve službě Key Vault v kódu aplikace
Sada KEY Vault SDK používá klientskou knihovnu azure Identity, která umožňuje bezproblémové ověřování ve službě Key Vault napříč prostředími se stejným kódem. Následující tabulka obsahuje informace o klientských knihovnách identit Azure:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK v Pythonu | Azure Identity SDK v Javě | Azure Identity SDK JavaScript |
Ověřování ve službě Key Vault pomocí REST
Přístupové tokeny musí být odeslány do služby pomocí hlavičky HTTP Authorization:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Pokud se přístupový token nezadá nebo když služba token nepřijímá, HTTP 401 klientovi se vrátí chyba a bude obsahovat hlavičku WWW-Authenticate , například:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Parametry v hlavičce WWW-Authenticate jsou:
autorizace: Adresa autorizační služby OAuth2, kterou lze použít k získání přístupového tokenu pro žádost.
prostředek: Název prostředku (
https://vault.azure.net) pro použití v žádosti o autorizaci.