Uwierzytelnij za pomocą certyfikatu klienta
DOTYCZY: Wszystkie warstwy usługi API Management
authentication-certificate Użyj zasad, aby uwierzytelnić się za pomocą usługi zaplecza przy użyciu certyfikatu klienta. Po zainstalowaniu certyfikatu w usłudze API Management najpierw zidentyfikuj go przy użyciu odcisku palca lub identyfikatora certyfikatu (resourcename).
Uwaga
Minimalizuj ryzyko ujawnienia poświadczeń podczas konfigurowania tych zasad. Firma Microsoft zaleca stosowanie bezpieczniejszych metod uwierzytelniania, jeśli są obsługiwane przez zaplecze, takie jak uwierzytelnianie tożsamości zarządzanej lub menedżer poświadczeń. Jeśli skonfigurujesz poufne informacje w definicjach zasad, zalecamy używanie nazwanych wartości i przechowywanie wpisów tajnych w usłudze Azure Key Vault.
Uwaga
Jeśli certyfikat odwołuje się do certyfikatu przechowywanego w usłudze Azure Key Vault, zidentyfikuj go przy użyciu identyfikatora certyfikatu. Po obróceniu certyfikatu magazynu kluczy jego odcisk palca w usłudze API Management zmieni się, a zasady nie rozpoznają nowego certyfikatu, jeśli zostanie zidentyfikowany przy użyciu odcisku palca.
Uwaga
Ustaw elementy zasad i elementy podrzędne w kolejności podanej w instrukcji zasad. Dowiedz się więcej na temat ustawiania lub edytowania zasad usługi API Management.
Instrukcja zasad
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Atrybuty
| Atrybut | opis | Wymagani | Wartość domyślna |
|---|---|---|---|
| Odcisk palca | Odcisk palca certyfikatu klienta. Wyrażenia zasad są dozwolone. | Albo thumbprint albo certificate-id może być obecny. |
Nie dotyczy |
| identyfikator certyfikatu | Nazwa zasobu certyfikatu. Wyrażenia zasad są dozwolone. | Albo thumbprint albo certificate-id może być obecny. |
Nie dotyczy |
| treść | Certyfikat klienta jako tablica bajtów. Użyj polecenia , jeśli certyfikat nie został pobrany z wbudowanego magazynu certyfikatów. Wyrażenia zasad są dozwolone. | Nie. | Nie dotyczy |
| hasło | Hasło certyfikatu klienta. Wyrażenia zasad są dozwolone. | Użyj opcji , jeśli certyfikat określony w elemecie body jest chroniony hasłem. |
Nie dotyczy |
Użycie
- Sekcje zasad: ruch przychodzący
- Zakresy zasad: globalny, obszar roboczy, produkt, interfejs API, operacja
- Bramy: klasyczne, v2, zużycie, self-hosted, obszar roboczy
Uwagi dotyczące użycia
- Zalecamy skonfigurowanie certyfikatów magazynu kluczy w celu zarządzania certyfikatami używanymi do zabezpieczania dostępu do usług zaplecza.
- Jeśli skonfigurujesz hasło certyfikatu w tych zasadach, zalecamy użycie nazwanej wartości.
Przykłady
Certyfikat klienta zidentyfikowany przez identyfikator certyfikatu
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Certyfikat klienta zidentyfikowany przez odcisk palca
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Certyfikat klienta ustawiony w zasadach, a nie pobrany z wbudowanego magazynu certyfikatów
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Powiązane zasady
Powiązana zawartość
Aby uzyskać więcej informacji na temat pracy z zasadami, zobacz:
- Samouczek: przekształcanie i ochrona interfejsu API
- Dokumentacja zasad dla pełnej listy instrukcji zasad i ich ustawień
- Wyrażenia zasad
- Ustawianie lub edytowanie zasad
- Ponowne używanie konfiguracji zasad
- Repozytorium fragmentów zasad
- Tworzenie zasad przy użyciu rozwiązania Microsoft Copilot na platformie Azure