Ověřování ve službě Azure Key Vault
Ověřování pomocí služby Key Vault funguje s ID Microsoft Entra, které zodpovídá za ověření identity jakéhokoli daného objektu zabezpečení.
Pro aplikace existují dva způsoby, jak získat principála služby:
Umožněte pro aplikaci spravovanou identitu přiřazenou systémem. Se spravovanou identitou Azure interně spravuje instanční objekt aplikace a automaticky ověřuje aplikaci s jinými službami Azure. Spravovaná identita je dostupná pro aplikace nasazené do různých služeb.
Pokud nemůžete použít spravovanou identitu, zaregistrujte místo toho aplikaci ve svém tenantovi Microsoft Entra. Registrace také vytvoří druhý objekt aplikace, který identifikuje aplikaci ve všech tenantech.
Poznámka
Doporučuje se použít spravovanou identitu přiřazenou systémem.
Následuje informace o ověřování ve službě Key Vault bez použití spravované identity.
Ověřování ve službě Key Vault v kódu aplikace
Sada KEY Vault SDK používá klientskou knihovnu azure Identity, která umožňuje bezproblémové ověřování ve službě Key Vault napříč prostředími se stejným kódem. Následující tabulka obsahuje informace o klientských knihovnách identit Azure:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK pro Python | Azure Identity SDK pro Java | Azure Identity SDK JavaScript |
Ověřování ve službě Key Vault pomocí REST
Přístupové tokeny musí být odeslány do služby pomocí hlavičky HTTP Authorization:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Pokud se přístupový token nezadá nebo když služba token nepřijímá, vrátí se klientovi HTTP 401 chyba a bude obsahovat hlavičku WWW-Authenticate, například:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Parametry v hlavičce WWW-Authenticate jsou:
autorizace: Adresa autorizační služby OAuth2, kterou lze použít k získání přístupového tokenu pro žádost.
resource: Název prostředku (
https://vault.azure.net), který se má použít v žádosti o autorizaci.