Autenticar para o Azure Key Vault
A autenticação com o Cofre da Chave funciona com o Microsoft Entra ID, que é responsável por autenticar a identidade de qualquer entidade de segurança.
Para aplicativos, há duas maneiras de obter uma entidade de serviço:
Habilite uma identidade gerenciada atribuída ao sistema para o aplicativo. Com a identidade gerenciada, o Azure gerencia internamente a entidade de serviço do aplicativo e autentica automaticamente o aplicativo com outros serviços do Azure. A identidade gerenciada está disponível para aplicativos implantados em vários serviços.
Se não puder usar a identidade gerenciada, registre o aplicativo com seu locatário do Microsoft Entra. O registro também cria um segundo objeto de aplicativo que identifica o aplicativo em todos os locatários.
Nota
Recomenda-se o uso de uma identidade gerenciada atribuída ao sistema.
A seguir estão informações sobre como autenticar no Cofre da Chave sem usar uma identidade gerenciada.
Autenticação no Cofre da Chave no código do aplicativo
O SDK do Cofre da Chave está usando a biblioteca de cliente do Azure Identity, que permite a autenticação contínua no Cofre da Chave em ambientes com o mesmo código. A tabela abaixo fornece informações sobre as bibliotecas de cliente do Azure Identity:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Autenticação no Cofre da Chave com REST
Os tokens de acesso devem ser enviados para o serviço usando o cabeçalho HTTP Authorization:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Quando um token de acesso não é fornecido, ou quando um token não é aceito pelo serviço, um HTTP 401 erro é retornado ao cliente e incluirá o WWW-Authenticate cabeçalho, por exemplo:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Os parâmetros no WWW-Authenticate cabeçalho são:
authorization: O endereço do serviço de autorização OAuth2 que pode ser usado para obter um token de acesso para a solicitação.
resource: O nome do recurso (
https://vault.azure.net) a ser usado na solicitação de autorização.