Проверка подлинности с помощью сертификата клиента

ОБЛАСТЬ ПРИМЕНЕНИЯ: все уровни Управление API

Используйте политику authentication-certificate для аутентификации внутренней службы с помощью сертификата клиента. При установке сертификата в Управление API сначала определите его по отпечатку или идентификатору сертификата (имя ресурса).

Внимание

Свести к минимуму риски воздействия учетных данных при настройке этой политики. Корпорация Майкрософт рекомендует использовать более безопасные методы проверки подлинности, если поддерживается серверной частью, например проверку подлинности управляемых удостоверений или диспетчер учетных данных. Если вы настраиваете конфиденциальную информацию в определениях политик, рекомендуется использовать именованные значения и хранить секреты в Azure Key Vault.

Внимание

Если такой сертификат ссылается на сертификат, хранящийся в Azure Key Vault, идентифицируйте его с помощью идентификатора сертификата. При ротации сертификата хранилища ключей его отпечаток в Управлении API изменится, и политика не будет разрешать новый сертификат, если он определен по отпечатку.

Примечание.

Задайте элементы политики и дочерние элементы в порядке, указанном в правиле политики. Узнайте, как устанавливать или изменять политики службы управления API.

Правило политики

<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>

Атрибуты

Атрибут Description Обязательное поле По умолчанию.
thumbprint Отпечаток для сертификата клиента. Допустимы выражения политики. certificate-id Либо thumbprint может присутствовать. Н/П
certificate-id Имя ресурса сертификата. Допустимы выражения политики. certificate-id Либо thumbprint может присутствовать. Н/П
текст Сертификат клиента как массив байтов. Используйте, если сертификат не извлекается из встроенного хранилища сертификатов. Допустимы выражения политики. No Н/П
password Пароль для сертификата клиента. Допустимы выражения политики. Используйте, если сертификат, указанный в body файле, защищен паролем. Н/П

Использование

Примечания об использовании

Примеры

Сертификат клиента, определяемый идентификатором сертификата

<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />  

Сертификат клиента, определяемый отпечатком

<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />

Сертификат клиента, заданный в политике, а не полученный из встроенного хранилища сертификатов

<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />

Дополнительные сведения о работе с политиками см. в нижеуказанных статьях.