Zelfstudie: Rollen toewijzen in Vertrouwde ondertekening
De Trusted Signing-service heeft een aantal servicespecifieke rollen naast de standaard Azure-rollen. Gebruik op rollen gebaseerd toegangsbeheer (RBAC) van Azure om gebruikers- en groepsrollen toe te wijzen voor de rollen die specifiek zijn voor vertrouwde ondertekening.
In deze zelfstudie bekijkt u ondersteunde rollen voor vertrouwde ondertekening. Vervolgens wijst u rollen toe aan uw vertrouwde ondertekeningsaccount in Azure Portal.
Ondersteunde rollen voor vertrouwde ondertekening
De volgende tabel bevat de rollen die door Vertrouwde ondertekening worden ondersteund, inclusief waartoe elke rol toegang heeft binnen de resources van de service:
| Role | Account beheren en weergeven | Certificaatprofielen beheren | Aanmelden met behulp van een certificaatprofiel | Ondertekeningsgeschiedenis weergeven | Roltoewijzing beheren | Identiteitsvalidatie beheren |
|---|---|---|---|---|---|---|
| Verifier identiteit Betrouwbaar ondertekenen | x | |||||
| Ondertekenaar certificaatprofiel Betrouwbaar ondertekenen | x | x | ||||
| Eigenaar | x | x | x | |||
| Inzender | x | x | ||||
| Lezer | x | |||||
| Beheerder voor gebruikerstoegang | x |
De rol Voor verificatie van vertrouwde ondertekeningsidentiteit is vereist voor het beheren van identiteitsvalidatieaanvragen, die u alleen in Azure Portal kunt uitvoeren en niet met behulp van de Azure CLI. De rol Vertrouwde handtekeningcertificaatprofielondertekening is vereist om zich te kunnen ondertekenen met vertrouwde ondertekening.
Rollen toewijzen
Ga in Azure Portal naar uw vertrouwde ondertekeningsaccount. Selecteer Toegangsbeheer (IAM) in het resourcemenu.
Selecteer het tabblad Rollen en zoek naar Vertrouwde ondertekening. In de volgende afbeelding ziet u de twee aangepaste rollen.
Als u deze rollen wilt toewijzen, selecteert u Toevoegen en selecteert u vervolgens Roltoewijzing toevoegen. Volg de richtlijnen in Rollen toewijzen in Azure om de relevante rollen toe te wijzen aan uw identiteiten.
Als u een vertrouwd handtekeningaccount en certificaatprofiel wilt maken, moet u ten minste de rol Inzender hebben toegewezen.
Voor gedetailleerdere toegangsbeheer op certificaatprofielniveau kunt u de Azure CLI gebruiken om rollen toe te wijzen. U kunt de volgende opdrachten gebruiken om de rol Profielondertekening voor vertrouwd handtekeningcertificaat toe te wijzen aan gebruikers en service-principals om bestanden te ondertekenen:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"