Autenticação com certificado de cliente
APLICA-SE A: todas as camadas do Gerenciamento de API
Use a política authentication-certificate para autenticar num serviço de back-end usando um certificado de cliente. Quando o certificado for instalado no Gerenciamento de API primeiro, identifique-o por sua impressão digital ou ID do certificado (resourcename).
Cuidado
Minimize os riscos de exposição de credenciais ao configurar esta política. A Microsoft recomenda que você use métodos de autenticação mais seguros, se suportados pelo seu back-end, como autenticação de identidade gerenciada ou gerenciador de credenciais. Se você configurar informações confidenciais em definições de política, recomendamos usar valores nomeados e armazenar segredos no Azure Key Vault.
Cuidado
Se o certificado fizer referência a um certificado armazenado no Azure Key Vault, identifique-o usando a ID do certificado. Quando um certificado do cofre de chaves for girado, sua impressão digital no Gerenciamento de API será alterada e a política não resolverá o novo certificado se ele for identificado pela impressão digital.
Observação
Defina os elementos da política e os elementos filho na ordem fornecida na declaração da política. Saiba mais sobre como definir e editar as políticas de Gerenciamento de API.
Declaração de política
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Atributos
| Atributo | Descrição | Obrigatório | Padrão |
|---|---|---|---|
| thumbprint | A impressão digital do certificado do cliente. Expressões de política são permitidas. | thumbprint ou certificate-id pode estar presente. |
N/D |
| ID do certificado | O nome do recurso de certificado. Expressões de política são permitidas. | thumbprint ou certificate-id pode estar presente. |
N/D |
| body | Certificado de cliente como uma matriz de bytes. Use se o certificado não for recuperado do repositório de certificados interno. Expressões de política são permitidas. | No | N/D |
| password | A senha para o certificado do cliente. Expressões de política são permitidas. | Use se o certificado especificado em body for protegido por senha. |
N/D |
Uso
- Seções de política: de entrada
- Escopos de política: global, espaço de trabalho, produto, API, operação
- Gateways: clássico, v2, consumo, auto-hospedado, espaço de trabalho
Observações de uso
- Recomendamos configurar os certificados do cofre de chaves para gerenciar certificados usados para proteger o acesso aos serviços de back-end.
- Se você configurar uma senha de certificado nesta política, recomendamos usar um valor nomeado.
Exemplos
Certificado do cliente identificado pela ID do certificado
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Certificado do cliente identificado pela impressão digital
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Certificado do cliente definido na política, em vez de ser recuperado do repositório de certificados interno
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Políticas relacionadas
Conteúdo relacionado
Para obter mais informações sobre como trabalhar com políticas, consulte:
- Tutorial: Transformar e proteger sua API
- Referência de Política para uma lista completa das instruções de política e suas configurações
- Expressões de política
- Definir ou editar políticas
- Reutilizar configurações de política
- Repositório de snippets de política
- Kit de ferramentas de políticas do Gerenciamento de API do Azure
- Criar políticas usando o Microsoft Copilot no Azure