Authenticate with client certificate
PLATÍ PRO: Všechny úrovně služby API Management
Použijte zásadu authentication-certificate k ověření v back-endové službě pomocí klientského certifikátu. Když se certifikát nainstaluje do služby API Management , nejprve ho identifikujte kryptografickým otiskem nebo ID certifikátu (název_prostředku).
Upozornění
Minimalizujte rizika vystavení přihlašovacích údajů při konfiguraci této zásady. Microsoft doporučuje používat bezpečnější metody ověřování, pokud je podporováno back-endem, jako je ověřování spravované identity nebo správce přihlašovacích údajů. Pokud v definicích zásad nakonfigurujete citlivé informace, doporučujeme používat pojmenované hodnoty a ukládat tajné kódy ve službě Azure Key Vault.
Upozornění
Pokud certifikát odkazuje na certifikát uložený ve službě Azure Key Vault, identifikujte ho pomocí ID certifikátu. Při obměně certifikátu trezoru klíčů se jeho kryptografický otisk ve službě API Management změní a zásada nový certifikát nevyřeší, pokud je identifikovaný kryptografickým otiskem.
Poznámka:
Nastavte prvky zásad a podřízené prvky v pořadí uvedeném v prohlášení o zásadách. Přečtěte si další informace o tom, jak nastavit nebo upravit zásady služby API Management.
Prohlášení o zásadách
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Atributy
| Atribut | Popis | Požaduje se | Výchozí |
|---|---|---|---|
| otisk palce | Kryptografický otisk klientského certifikátu. Výrazy zásad jsou povolené. | Buď thumbprint nebo certificate-id může být přítomna. |
– |
| id certifikátu | Název prostředku certifikátu. Výrazy zásad jsou povolené. | Buď thumbprint nebo certificate-id může být přítomna. |
– |
| text | Klientský certifikát jako pole bajtů. Použijte, pokud se certifikát nenačítá z integrovaného úložiště certifikátů. Výrazy zásad jsou povolené. | No | – |
| Heslo | Heslo pro klientský certifikát. Výrazy zásad jsou povolené. | Použijte, pokud je certifikát zadaný v body heslem chráněný. |
– |
Využití
- Oddíly zásad: příchozí
- Obory zásad: globální, pracovní prostor, produkt, rozhraní API, operace
- Brány: Classic, v2, consumption, self-host, workspace
Poznámky k využití
- Doporučujeme nakonfigurovat certifikáty trezoru klíčů pro správu certifikátů používaných k zabezpečení přístupu k back-endovým službám.
- Pokud v této zásadě nakonfigurujete heslo certifikátu, doporučujeme použít pojmenovanou hodnotu.
Příklady
Klientský certifikát identifikovaný ID certifikátu
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Klientský certifikát identifikovaný kryptografickým otiskem
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Klientský certifikát nastavený v zásadách místo načtení z integrovaného úložiště certifikátů
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Související zásady
Související obsah
Další informace o práci se zásadami najdete v tématech:
- Kurz: Transformace a ochrana rozhraní API
- Referenční informace o zásadách pro úplný seznam prohlášení o zásadách a jejich nastavení
- Výrazy zásad
- Nastavení nebo úprava zásad
- Opakované použití konfigurací zásad
- Úložiště fragmentů zásad
- Vytváření zásad pomocí Microsoft Copilotu v Azure