Authentification par certificat client
S’APPLIQUE À : Tous les niveaux de Gestion des API
La stratégie authentication-certificate
permet l’authentification auprès d’un service principal à l’aide d’un certificat client. Quand le certificat est installé dans Gestion des API en premier, identifiez-le d’abord par son empreinte ou ID de certificat (nom de ressource).
Attention
Réduisez les risques d’exposition des informations d’identification lors de la configuration de cette stratégie. Microsoft vous recommande d’utiliser des méthodes d’authentification plus sécurisées si elles sont prises en charge par votre back-end, comme l’authentification par identité managée ou le gestionnaire d’informations d’identification. Si vous configurez des informations sensibles dans les définitions de stratégie, nous vous recommandons d’utiliser des valeurs nommées et de stocker des secrets dans Azure Key Vault.
Attention
Si le certificat fait référence à un certificat stocké dans Azure Key Vault, identifiez-le à l’aide de l’ID de certificat. Lorsqu’un certificat de coffre de clés est permuté, son empreinte dans Gestion des API est modifiée et la stratégie ne résout pas le nouveau certificat s’il est identifié par son empreinte.
Notes
Définissez les éléments enfants et de stratégie dans l’ordre fourni dans l’instruction de stratégie. En savoir plus sur comment définir ou modifier des stratégies du service Gestion des API.
Instruction de la stratégie
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Attributs
Attribut | Description | Obligatoire | Default |
---|---|---|---|
thumbprint | Empreinte du certificat client. Les expressions de stratégie sont autorisées. | thumbprint ou certificate-id peut être présent. |
N/A |
certificate-id | Le nom de ressource du certificat. Les expressions de stratégie sont autorisées. | thumbprint ou certificate-id peut être présent. |
N/A |
body | Certificat client en tant que tableau d’octets. À utiliser si le certificat n’est pas récupéré à partir du magasin de certificats intégré. Les expressions de stratégie sont autorisées. | Non | N/A |
mot de passe | Mot de passe du certificat client. Les expressions de stratégie sont autorisées. | À utiliser si le certificat spécifié dans body est protégé par un mot de passe. |
N/A |
Usage
- Sections de la stratégie : inbound
- Étendues de la stratégie : global, espace de travail, produit, API, opération
- Passerelles : classiques, v2, consommation, auto-hébergées, espace de travail
Notes d’utilisation
- Nous vous recommandons de configurer certificats de coffre de clés pour gérer les certificats utilisés pour sécuriser l’accès aux services principaux.
- Si vous configurez un mot de passe de certificat dans cette stratégie, nous vous recommandons d’utiliser une valeur nommée.
Exemples
Certificat client identifié par l’ID de certificat
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Certificat client identifié par empreinte
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Certificat client défini dans la stratégie plutôt que récupéré dans le magasin de certificats intégré
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Stratégies connexes
Contenu connexe
Pour plus d’informations sur l’utilisation des stratégies, consultez :
- Tutoriel : Transformer et protéger votre API
- Référence de stratégie pour obtenir la liste complète des instructions et des paramètres de stratégie
- Expressions de stratégie
- Définir ou modifier des stratégies
- Réutilisation de configurations de stratégie
- Référentiel d’extrait de stratégie
- Kit de ressources des stratégies Gestion des API Azure
- Créer des stratégies à l’aide de Microsoft Copilot dans Azure