Autenticación en Azure Key Vault
La autenticación con Key Vault funciona con el identificador de Entra de Microsoft, que es responsable de autenticar la identidad de cualquier entidad de seguridad determinada. Una entidad de seguridad es cualquier cosa que pueda solicitar acceso a los recursos de Azure. Esto incluye:
- Usuarios: personas reales con cuentas en microsoft Entra ID.
- Grupos: colecciones de usuarios. Los permisos concedidos al grupo se aplican a todos sus miembros.
- Entidades de servicio: representa aplicaciones o servicios (no personas). Piense en ella como una cuenta de usuario para una aplicación.
En el caso de las aplicaciones, hay dos maneras principales de obtener un principal de servicio:
Use una identidad administrada (recomendada): Azure crea y administra automáticamente la entidad de servicio. La aplicación puede acceder de forma segura a otros servicios de Azure sin almacenar credenciales. Funciona con servicios como App Service, Azure Functions y Virtual Machines.
Registrar la aplicación manualmente: registre la aplicación en Microsoft Entra ID. Esto crea una entidad de servicio y un objeto de aplicación que identifica la aplicación en todos los inquilinos.
Nota:
Se recomienda usar una identidad administrada asignada por el sistema.
Autenticación en Key Vault en el código de la aplicación
El SDK de Key Vault usa la biblioteca cliente de Identidad de Azure, lo que permite una autenticación sin problemas en Key Vault entre entornos con el mismo código. En la tabla siguiente se proporciona información sobre las bibliotecas cliente de Identidad de Azure:
| .NET | Pitón | Java | JavaScript |
|---|---|---|---|
| SDK de Identidad de Azure .NET | SDK de Identidad de Azure Para Python | SDK de Identidad de Azure para Java | JavaScript del SDK de Identidad de Azure |
Autenticación en Key Vault con REST
Los tokens de acceso deben enviarse al servicio mediante el encabezado de autorización HTTP:
PUT /keys/MYKEY?api-version=<api_version> HTTP/1.1
Authorization: Bearer <access_token>
Cuando no se proporciona un token de acceso o cuando el servicio rechaza un token, se devuelve un HTTP 401 error al cliente e incluye el WWW-Authenticate encabezado, por ejemplo:
401 Not Authorized
WWW-Authenticate: Bearer authorization="…", resource="…"
Los parámetros del WWW-Authenticate encabezado son:
authorization: la dirección del servicio de autorización de OAuth2 que se puede usar para obtener un token de acceso para la solicitud.
resource: el nombre del recurso (
https://vault.azure.net) que se va a usar en la solicitud de autorización.