Authentifizieren bei Azure Key Vault

Abgeschlossen

Die Authentifizierung mit Key Vault funktioniert mit Microsoft Entra ID, die für die Authentifizierung der Identität eines bestimmten Sicherheitsprinzipals verantwortlich ist.

Für Anwendungen gibt es zwei Möglichkeiten zum Abrufen eines Dienstprinzipals:

• Aktivieren Sie eine vom System zugewiesene verwaltete Identität für die Anwendung. Mit verwalteter Identität verwaltet Azure intern den Dienstprinzipal der Anwendung und authentifiziert die Anwendung automatisch mit anderen Azure-Diensten. Verwaltete Identität ist für Anwendungen verfügbar, die für verschiedene Dienste bereitgestellt werden.

• Wenn Sie keine verwaltete Identität verwenden können, registrieren Sie die Anwendung stattdessen bei Ihrem Microsoft Entra-Mandanten. Durch die Registrierung wird auch ein zweites Anwendungsobjekt erstellt, das die App für alle Mandanten identifiziert.

Anmerkung

Es wird empfohlen, eine vom System zugewiesene verwaltete Identität zu verwenden.

Es folgen Informationen zur Authentifizierung bei Key Vault, ohne eine verwaltete Identität zu verwenden.

Authentifizierung bei Key Vault im Anwendungscode

Key Vault SDK verwendet die Azure Identity-Clientbibliothek, die die nahtlose Authentifizierung für Key Vault über Umgebungen mit demselben Code hinweg ermöglicht. Die folgende Tabelle enthält Informationen zu den Azure Identity-Clientbibliotheken:

.NET	Python	Java	JavaScript
Azure Identity SDK .NET	Azure Identity SDK Python	Azure Identity SDK für Java	Azure Identity SDK-JavaScript-

Authentifizierung zu Key Vault mit REST

Zugriffstoken müssen mithilfe des HTTP-Autorisierungsheaders an den Dienst gesendet werden:

PUT /keys/MYKEY?api-version=<api_version>  HTTP/1.1  
Authorization: Bearer <access_token>

Wenn kein Zugriffstoken angegeben wird oder ein Token vom Dienst nicht akzeptiert wird, wird ein HTTP 401 Fehler an den Client zurückgegeben und enthält beispielsweise den WWW-Authenticate-Header:

401 Not Authorized  
WWW-Authenticate: Bearer authorization="…", resource="…"

Die Parameter für die kopfzeile WWW-Authenticate sind:

• Autorisierung: Die Adresse des OAuth2-Autorisierungsdiensts, der zum Abrufen eines Zugriffstokens für die Anforderung verwendet werden kann.

• resource: Der Name der Ressource (https://vault.azure.net), die in der Autorisierungsanfrage verwendet werden soll.

Weitere Ressourcen

• Azure Key Vault-Entwicklerhandbuch
• Verfügbarkeit und Redundanz von Azure Key Vault