Authentifizieren mit Clientzertifikat (authentication-certificate)
GILT FÜR: Alle API Management-Ebenen
Verwenden Sie die Richtlinie authentication-certificate
für die Authentifizierung mit einem Back-End-Dienst unter Verwendung eines Clientzertifikats. Das Zertifikat muss zuerst in API Management installiert werden. Es wird durch seinen Fingerabdruck oder seine Zertifikat-ID (Ressourcenname) identifiziert.
Achtung
Minimieren Sie die Gefahr einer Offenlegung von Anmeldeinformationen, wenn Sie diese Richtlinie konfigurieren. Microsoft empfiehlt, sicherere Authentifizierungsmethoden zu verwenden, sofern sie von Ihrem Back-End unterstützt werden (also beispielsweise Authentifizierung mit verwalteten Identitäten oder Anmeldeinformationsverwaltung). Wenn Sie vertrauliche Informationen in Richtliniendefinitionen konfigurieren, empfiehlt es sich, benannte Werte zu verwenden und Geheimnisse in Azure Key Vault zu speichern.
Achtung
Wenn das Zertifikat auf ein in Azure Key Vault gespeichertes Zertifikat verweist, identifizieren Sie es anhand der Zertifikat-ID. Wenn ein Key Vault-Zertifikat rotiert wird, ändert sich dessen Fingerabdruck in API Management, und die Richtlinie löst das neue Zertifikat nicht auf, wenn es anhand des Fingerabdrucks identifiziert wird.
Hinweis
Legen Sie die Elemente und untergeordneten Elemente einer Richtlinie in der Reihenfolge fest, die in der Richtlinienanweisung angegeben ist. Erfahren Sie mehr darüber, wie Sie API Management-Richtlinien festlegen oder bearbeiten.
Richtlinienanweisung
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
Attribute
Attribut | BESCHREIBUNG | Erforderlich | Standard |
---|---|---|---|
thumbprint | Der Fingerabdruck für das Clientzertifikat. Richtlinienausdrücke sind zulässig. | Es kann entweder thumbprint oder certificate-id vorhanden sein. |
– |
certificate-id | Der Zertifikatressourcenname. Richtlinienausdrücke sind zulässig. | Es kann entweder thumbprint oder certificate-id vorhanden sein. |
– |
body | Clientzertifikat als Bytearray Verwenden Sie dieses Attribut, wenn das Zertifikat nicht aus dem integrierten Zertifikatspeicher abgerufen wird. Richtlinienausdrücke sind zulässig. | Nein | – |
password | Das Kennwort für das Clientzertifikat Richtlinienausdrücke sind zulässig. | Dieses Attribut wird verwendet, wenn das in body angegebene Zertifikat kennwortgeschützt ist. |
– |
Verwendung
- Richtlinienabschnitte: inbound
- Richtlinienbereiche: global, Arbeitsbereich, Produkt, API, Vorgang
- Gateways: klassisch, v2, Verbrauch, selbstgehostet, Arbeitsbereich
Hinweise zur Verwendung
- Es wird empfohlen, Schlüsseltresorzertifikate zum Verwalten von Zertifikaten zu konfigurieren, die für den sicheren Zugriff auf Back-End-Dienste verwendet werden.
- Wenn Sie in dieser Richtlinie ein Zertifikatkennwort konfigurieren, empfehlen wir die Verwendung eines benannten Werts.
Beispiele
Per Zertifikat-ID identifiziertes Clientzertifikat
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
Per Fingerabdruck identifiziertes Clientzertifikat
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
Clientzertifikat wird in der Richtlinie festgelegt und nicht aus dem integrierten Zertifikatspeicher abgerufen
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
Verwandte Richtlinien
Zugehöriger Inhalt
Weitere Informationen zum Arbeiten mit Richtlinien finden Sie hier:
- Tutorial: Transformieren und Schützen Ihrer API
- Unter Richtlinien für die API-Verwaltung finden Sie eine komplette Liste der Richtlinienanweisungen und der zugehörigen Einstellungen.
- Richtlinienausdrücke
- Festlegen oder Bearbeiten von Richtlinien
- Wiederverwenden von Richtlinienkonfigurationen
- Repository für Richtliniencodeausschnitte
- Azure API Management-Richtlinientoolkit
- Erstellen von Richtlinien mit Microsoft Copilot in Azure