Partilhar via


Authenticate with client certificate

APLICA-SE A: Todas as camadas de gerenciamento de API

Use a authentication-certificate política para autenticar com um serviço de back-end usando um certificado de cliente. Quando o certificado for instalado no Gerenciamento de API primeiro, identifique-o primeiro por sua impressão digital ou ID do certificado (resourcename).

Atenção

Minimize os riscos de exposição de credenciais ao configurar esta política. A Microsoft recomenda que você use métodos de autenticação mais seguros se suportados pelo back-end, como autenticação de identidade gerenciada ou gerenciador de credenciais. Se você configurar informações confidenciais em definições de política, recomendamos usar valores nomeados e armazenar segredos no Cofre de Chaves do Azure.

Atenção

Se o certificado fizer referência a um certificado armazenado no Cofre da Chave do Azure, identifique-o usando a ID do certificado. Quando um certificado de cofre de chaves é girado, sua impressão digital no Gerenciamento de API será alterada e a política não resolverá o novo certificado se ele for identificado por impressão digital.

Nota

Defina os elementos da política e os elementos filho na ordem fornecida na declaração de política. Saiba mais sobre como definir ou editar políticas de Gerenciamento de API.

Declaração de política

<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>

Atributos

Atributo Description Necessário Predefinição
impressão digital A impressão digital para o certificado do cliente. São permitidas expressões de política. Ou thumbprint certificate-id pode estar presente. N/A
ID do certificado O nome do recurso de certificado. São permitidas expressões de política. Ou thumbprint certificate-id pode estar presente. N/A
corpo Certificado de cliente como uma matriz de bytes. Use se o certificado não for recuperado do armazenamento de certificados interno. São permitidas expressões de política. No N/A
password Senha para o certificado do cliente. São permitidas expressões de política. Use se o certificado especificado em estiver protegido por body senha. N/A

Utilização

Notas de utilização

  • Recomendamos configurar certificados de cofre de chaves para gerenciar certificados usados para proteger o acesso aos serviços de back-end.
  • Se você configurar uma senha de certificado nesta política, recomendamos o uso de um valor nomeado.

Exemplos

Certificado de cliente identificado pelo ID do certificado

<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />  

Certificado de cliente identificado por impressão digital

<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />

Certificado de cliente definido na política em vez de recuperado do armazenamento de certificados interno

<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />

Para obter mais informações sobre como trabalhar com políticas, consulte: