Uwierzytelnianie w usłudze Azure Key Vault
Uwierzytelnianie za pomocą Key Vault współpracuje z usługą Azure Active Directory, która jest odpowiedzialna za uwierzytelnianie tożsamości dowolnego podmiotu zabezpieczeń.
W przypadku aplikacji istnieją dwa sposoby uzyskiwania jednostki usługi:
Włącz tożsamość zarządzaną przypisaną przez system dla aplikacji. Dzięki tożsamości zarządzanej platforma Azure wewnętrznie zarządza jednostką usługi aplikacji i automatycznie uwierzytelnia aplikację przy użyciu innych usług platformy Azure. Tożsamość zarządzana jest dostępna dla aplikacji wdrożonych w różnych usługach.
Jeśli nie możesz użyć tożsamości zarządzanej, zamiast tego zarejestruj aplikację w dzierżawie Azure AD. Rejestracja tworzy również drugi obiekt aplikacji, który identyfikuje aplikację we wszystkich dzierżawach.
Uwaga
Zaleca się używanie tożsamości zarządzanej przypisanej przez system.
Poniżej przedstawiono informacje dotyczące uwierzytelniania w Key Vault bez korzystania z tożsamości zarządzanej.
Uwierzytelnianie do Key Vault w kodzie aplikacji
zestaw SDK Key Vault korzysta z biblioteki klienta usługi Azure Identity, która umożliwia bezproblemowe uwierzytelnianie Key Vault w różnych środowiskach przy użyciu tego samego kodu. Poniższa tabela zawiera informacje o bibliotekach klienta usługi Azure Identity:
Uwierzytelnianie do Key Vault za pomocą interfejsu REST
Tokeny dostępu muszą być wysyłane do usługi przy użyciu nagłówka autoryzacji HTTP:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Jeśli token dostępu nie jest dostarczany lub gdy token nie jest akceptowany przez usługę, HTTP 401 zwracany jest błąd do klienta i będzie zawierać WWW-Authenticate nagłówek, na przykład:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Parametry w nagłówku WWW-Authenticate to:
autoryzacja: adres usługi autoryzacji OAuth2, która może służyć do uzyskania tokenu dostępu dla żądania.
resource: nazwa zasobu (
https://vault.azure.net) do użycia w żądaniu autoryzacji.