Risorse e ruoli di Firma attendibile
La firma attendibile è una risorsa nativa di Azure che offre supporto completo per i concetti comuni di Azure, ad esempio le risorse. Analogamente a qualsiasi altra risorsa di Azure, la firma attendibile ha un proprio set di risorse e ruoli progettati per semplificare la gestione del servizio.
Questo articolo presenta le risorse e i ruoli specifici per la firma attendibile.
Tipi di risorse di firma attendibili
La firma attendibile ha i tipi di risorse seguenti:
Account di firma attendibile: un account è un contenitore logico di tutte le risorse necessarie per completare la firma e gestire i controlli di accesso alle risorse sensibili.
Convalide dell'identità: la convalida dell'identità esegue la verifica dell'organizzazione o della singola identità prima di poter firmare il codice. L'organizzazione verificata o la singola identità è l'origine degli attributi per i valori DN (Subject DN) del profilo certificato (subject DN), ad esempio
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. I ruoli di convalida delle identità vengono assegnati alle identità del tenant per creare queste risorse.Profili certificato: un profilo certificato è gli attributi di configurazione che generano i certificati usati per firmare il codice. Definisce anche il modello di attendibilità e lo scenario in cui il contenuto firmato viene utilizzato dalle relying party. I ruoli di firma vengono assegnati a questa risorsa per autorizzare le identità del tenant a richiedere la firma. Un prerequisito per la creazione di un profilo certificato deve avere almeno una richiesta di convalida dell'identità completata.
Nella struttura di esempio seguente una sottoscrizione di Azure ha un gruppo di risorse. Nel gruppo di risorse è possibile avere una o più risorse dell'account di firma attendibile con una o più convalide di identità e profili certificato.
Il servizio supporta criteri di attendibilità pubblica, attendibilità privata, criteri di integrità del codice, enclave di sicurezza basata su virtualizzazione e tipi di firma di test di attendibilità pubblica, quindi è utile avere più account di firma attendibile e profili certificato. Per altre informazioni sui tipi di profilo certificato e sul modo in cui vengono usati, vedere Tipi di certificato e gestione di firma attendibile.
Nota
Le convalide di identità e i profili certificato sono allineati al trust pubblico o al trust privato. Viene usata una convalida dell'identità trust pubblica solo per i profili certificato usati per il modello di attendibilità pubblica. Per altre informazioni, vedere Modelli di attendibilità per la firma attendibile.
Account di firma attendibile
Un account di firma attendibile è un contenitore logico delle risorse usate per completare la firma del certificato. Gli account di firma attendibili possono essere usati per definire i limiti di un progetto o di un'organizzazione. Per la maggior parte, un singolo account di firma attendibile può soddisfare tutte le esigenze di firma per una singola o organizzazione. Potrebbe essere necessario firmare molti artefatti distribuiti dalla stessa identità ( ad esempio , Contoso News, LLC), ma in modo operativo potrebbero esserci limiti che si desidera disegnare in termini di accesso alla firma. È possibile scegliere di avere un account di firma attendibile per ogni prodotto o per ogni team per isolare il modo in cui un account viene usato o per tenere traccia della firma. Tuttavia, è anche possibile ottenere questo modello di isolamento a livello di profilo certificato.
Convalide delle identità
Le convalide delle identità riguardano tutti la definizione dell'identità nei certificati usati per la firma. Esistono due tipi: Trust pubblico e Trust privato. Ciò che definisce i due tipi è il livello di convalida dell'identità necessario per completare la creazione di una risorsa di convalida delle identità.
L'attendibilità pubblica indica che tutti i valori di identità devono essere convalidati in base all'informativa sulle procedure di certificazione di terze parti dei servizi PKI Microsoft. Questo requisito è allineato alle aspettative per i certificati di firma del codice attendibile pubblicamente.
L'attendibilità privata è destinata a situazioni in cui esiste una relazione di trust stabilita in un'identità privata in una o più relying party (consumer di firme) o internamente in scenari line-of-business (LINE-of-business). Con le convalide dell'identità di attendibilità privata, è disponibile una verifica minima degli attributi di identità , ad esempio il
Organization Unitvalore . La verifica è strettamente associata al tenant di Azure del sottoscrittore , ad esempioContoso.onmicrosoft.com. I valori nei profili certificato attendibilità privata non vengono convalidati oltre le informazioni sul tenant di Azure.
Per altre informazioni sull'attendibilità pubblica e sull'attendibilità privata, vedere Modelli di attendibilità per la firma attendibile.
Profili certificato
La firma attendibile fornisce cinque tipi di profilo di certificato totali che tutti i sottoscrittori possono usare con le risorse di convalida delle identità allineate e completate. Questi cinque profili certificato sono allineati alle convalide di trust pubblico o di identità di trust privato come indicato di seguito:
-
Trust pubblico
Trust pubblico: usato per firmare codice e artefatti che possono essere distribuiti pubblicamente. Questo profilo certificato è attendibile per impostazione predefinita nella piattaforma Windows per la firma del codice.
Enclave VBS: usato per firmare enclave di sicurezza basati su virtualizzazione in Windows.
Test di attendibilità pubblica: usato solo per la firma di test e non è considerato attendibile pubblicamente per impostazione predefinita. Considerare i profili certificato di test attendibili pubblici come un'ottima opzione per la firma della compilazione del ciclo interno.
Nota
Tutti i certificati nel tipo di profilo certificato di test attendibili pubblici includono la durata EKU (
1.3.6.1.4.1.311.10.3.13), che forza la convalida a rispettare la durata del certificato di firma indipendentemente dalla presenza di una controfirma timestamp valida.
-
Trust privato
- Trust privato: usato per firmare elementi interni o privati, ad esempio applicazioni e contenitori LINEB. È anche possibile usarlo per firmare i file di catalogo in Controllo app per le aziende.
-
Criteri CI attendibilità privata: il profilo del certificato del certificato ci dei criteri di attendibilità privata è l'unico tipo che non include la firma del codice EKU ().Private Trust CI Policy profile is the only type that't include the code signing EKU (
1.3.6.1.5.5.7.3.3). Questo profilo certificato è progettato per firmare i file dei criteri di integrazione continua di Controllo app per le aziende.
Ruoli supportati
Il controllo degli accessi in base al ruolo è un concetto fondamentale per tutte le risorse di Azure. La firma attendibile aggiunge due ruoli personalizzati per soddisfare le esigenze del sottoscrittore per la creazione di una convalida dell'identità (ruolo Verifica identità firma attendibile) e la firma con i profili certificato (ruolo firmatario del profilo certificato di firma attendibile). Questi ruoli personalizzati devono essere assegnati in modo esplicito per eseguire queste due funzioni critiche nell'uso della firma attendibile. La tabella seguente contiene un elenco completo dei ruoli supportati dalla firma attendibile e le relative funzionalità, inclusi tutti i ruoli standard di Azure.
| Ruolo | Gestire e visualizzare l'account | Gestire i profili certificato | Firmare usando un profilo certificato | Visualizzare la cronologia delle firme | Gestire l'assegnazione di ruolo | Gestire la convalida delle identità |
|---|---|---|---|---|---|---|
| Trusted Signing Identity Verifier1 | X | |||||
| Firmatario del profilo certificato di firma attendibile2 | X | X | ||||
| Proprietario | X | X | X | |||
| Collaboratore | X | X | ||||
| Lettore | X | |||||
| Amministratore Accesso utenti | X |
1 Obbligatorio per creare o gestire la convalida dell'identità. Disponibile solo nella portale di Azure.
2 Necessario per firmare correttamente tramite firma attendibile.
Contenuto correlato
- Completare la guida introduttiva per configurare la firma attendibile.
- Informazioni sui modelli di attendibilità della firma attendibile.
- Esaminare il concetto di certificati di firma attendibile e gestione .