Autenticar-se no Azure Key Vault
A autenticação com o Azure Key Vault funciona com o Microsoft Entra ID, que é responsável por autenticar a identidade de qualquer entidade de segurança especificada.
Para aplicações, há duas maneiras de obter um principal de serviço:
Ative uma identidade gerida atribuída pelo sistema do aplicativo. Com a identidade gerenciada, o Azure gerencia internamente a entidade de serviço do aplicativo e autentica automaticamente o aplicativo com outros serviços do Azure. A identidade gerenciada está disponível para aplicativos implantados em vários serviços.
Se não puder usar a identidade gerenciada, registre o aplicativo com seu locatário do Microsoft Entra. O registro também cria um segundo objeto de aplicativo que identifica o aplicativo em todos os locatários.
Observação
Recomenda-se o uso de uma identidade gerenciada atribuída ao sistema.
A seguir estão informações sobre como autenticar no Cofre da Chave sem usar uma identidade gerenciada.
Autenticação no Cofre de Chaves no código da aplicação
O SDK do Cofre da Chave está usando a biblioteca de cliente do Azure Identity, que permite a autenticação contínua no Cofre da Chave em ambientes com o mesmo código. A tabela abaixo fornece informações sobre as bibliotecas de cliente do Azure Identity:
| .NET | Python | Java | Javascript |
|---|---|---|---|
| SDK de Identidade do Azure .NET | SDK do Azure Identity em Python | SDK de Identidade do Azure Java | JavaScript do SDK do Azure Identity |
Autenticação no Cofre de Chaves com REST
Os tokens de acesso devem ser enviados para o serviço usando o cabeçalho HTTP Authorization:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Quando um token de acesso não é fornecido, ou quando um token não é aceito pelo serviço, um erro de HTTP 401 é retornado ao cliente e incluirá o cabeçalho WWW-Authenticate, por exemplo:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Os parâmetros no cabeçalho WWW-Authenticate são:
authorization: O endereço do serviço de autorização OAuth2 que pode ser usado para obter um token de acesso para a solicitação.
resource: O nome do recurso (
https://vault.azure.net) a ser usado na solicitação de autorização.