Verifiëren bij Azure Key Vault

Voltooid

Verificatie met Key Vault werkt met Microsoft Entra-id, die verantwoordelijk is voor het verifiëren van de identiteit van een bepaalde beveiligingsprincipaal.

Voor toepassingen zijn er twee manieren om een service-principal te verkrijgen:

• Schakel een door het systeem toegewezen beheerde identiteit in voor de toepassing. Met een beheerde identiteit beheert Azure intern de service-principal van de toepassing en verifieert de toepassing automatisch met andere Azure-services. Beheerde identiteit is beschikbaar voor toepassingen die zijn geïmplementeerd in verschillende services.

• Als u geen beheerde identiteit kunt gebruiken, registreert u in plaats daarvan de toepassing bij uw Microsoft Entra-tenant. Registratie creëert ook een tweede applicatieobject waarmee de app voor alle tenants wordt geïdentificeerd.

Notitie

Het wordt aanbevolen om een door het systeem toegewezen beheerde identiteit te gebruiken.

Hieronder vindt u informatie over het verifiëren bij Key Vault zonder een beheerde identiteit te gebruiken.

Verificatie voor Key Vault in toepassingscode

Key Vault SDK maakt gebruik van de Azure Identity-clientbibliotheek, waarmee naadloze verificatie naar Key Vault in omgevingen met dezelfde code mogelijk is. De onderstaande tabel bevat informatie over de Azure Identity-clientbibliotheken:

.NET	Python	Java	JavaScript
Azure Identity SDK .NET	Azure Identity SDK Python	Azure Identity SDK Java	Azure Identity SDK JavaScript

Authenticatie voor Key Vault met REST

Toegangstokens moeten naar de service worden verzonden met behulp van de HTTP-autorisatieheader:

PUT /keys/MYKEY?api-version=<api_version>  HTTP/1.1  
Authorization: Bearer <access_token>

Wanneer er geen toegangstoken wordt opgegeven of wanneer een token niet wordt geaccepteerd door de service, wordt een HTTP 401-fout geretourneerd naar de client en wordt de WWW-Authenticate header opgenomen, bijvoorbeeld:

401 Not Authorized  
WWW-Authenticate: Bearer authorization="…", resource="…"

De parameters in de WWW-Authenticate header zijn:

• autorisatie: het adres van de OAuth2-autorisatieservice die kan worden gebruikt om een toegangstoken voor de aanvraag te verkrijgen.

• resource: de naam van de resource (https://vault.azure.net) die moet worden gebruikt in de autorisatieaanvraag.

Andere bronnen

• handleiding voor ontwikkelaars van Azure Key Vault
• azure Key Vault-beschikbaarheid en -redundantie