Autenticar-se no Azure Key Vault
A autenticação com o Key Vault funciona com o Microsoft Entra ID, que é responsável por autenticar a identidade de qualquer entidade de segurança determinada.
Para aplicativos, há duas maneiras de obter uma entidade de serviço:
Você habilita uma identidade gerenciada atribuída pelo sistema para o aplicativo. Com a identidade gerenciada, o Azure gerencia internamente a entidade de serviço do aplicativo e autentica automaticamente o aplicativo com outros serviços do Azure. A identidade gerenciada está disponível para aplicativos implantados em uma variedade de serviços.
Se você não puder usar a identidade gerenciada, registre o aplicativo com seu locatário do Microsoft Entra. O registro também cria um segundo objeto de aplicativo que identifica o aplicativo em todos os locatários.
Observação
É recomendável usar uma identidade gerenciada atribuída pelo sistema.
Abaixo estão as informações sobre como autenticar-se com o Key Vault sem usar uma identidade gerenciada.
Autenticação no Key Vault no código do aplicativo
o SDK do Key Vault está usando a biblioteca de clientes do Azure Identity, que permite autenticação simplificada com o Key Vault entre ambientes com o mesmo código. A seguinte tabela fornece informações sobre as bibliotecas de clientes do Azure Identity:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Autenticação com o Key Vault usando REST
Tokens de acesso devem ser enviados para o serviço usando o cabeçalho de autorização HTTP:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Quando um token de acesso não for fornecido ou quando um token não for aceito pelo serviço, um erro HTTP 401 será retornado ao cliente e incluirá o cabeçalho WWW-Authenticate, por exemplo:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Os parâmetros no cabeçalho WWW-Authenticate são:
authorization: O endereço do serviço de autorização OAuth2 que pode ser usado para obter um token de acesso para a solicitação.
resource: O nome do recurso (
https://vault.azure.net) a ser usado na solicitação de autorização.