Condividi tramite


Autenticazione con certificato client

SI APPLICA A: Tutti i livelli di Gestione API

Usare il criterio authentication-certificate per eseguire l'autenticazione con un servizio di back-end tramite il certificato client. Quando il certificato viene installato in Gestione API, identificarlo prima con l'identificazione personale o l'ID certificato (nome della risorsa).

Attenzione

Ridurre al minimo i rischi di esposizione delle credenziali durante la configurazione di questo criterio. Microsoft consiglia di usare metodi di autenticazione più sicuri se supportati dal back-end, ad esempio Autenticazione identità gestita o Gestione credenziali. Se si configurano informazioni sensibili nelle definizioni dei criteri, è consigliabile usare valori denominati e archiviare i segreti in Azure Key Vault.

Attenzione

Se il certificato fa riferimento a un certificato archiviato in Azure Key Vault, identificarlo usando l'ID certificato. Quando un certificato dell'insieme di credenziali delle chiavi viene ruotato, l'identificazione personale in Gestione API cambierà e i criteri non risolveranno il nuovo certificato se è identificato dall'identificazione personale.

Nota

Impostare gli elementi e gli elementi figlio del criterio nell'ordine specificato nell'istruzione del criterio. Altre informazioni su come impostare o modificare i criteri di API Management.

Istruzione del criterio

<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>

Attributi

Attributo Descrizione Richiesto Valore predefinito
thumbprint Identificazione personale del certificato client. Le espressioni di criteri sono consentite. Possono essere presenti thumbprint o certificate-id. N/D
certificate-id Nome della risorsa del certificato. Le espressioni di criteri sono consentite. Possono essere presenti thumbprint o certificate-id. N/D
corpo Certificato client come matrice di byte. Usare se il certificato non viene recuperato dall'archivio certificati predefinito. Le espressioni di criteri sono consentite. No N/D
password Password per il certificato client. Le espressioni di criteri sono consentite. Usare se il certificato specificato in body è protetto da password. N/D

Utilizzo

Note sull'utilizzo

Esempi

Certificato client identificato dall'ID certificato

<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />  

Certificato client identificato dall'identificazione personale

<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />

Certificato client impostato nei criteri anziché recuperato dall'archivio certificati predefinito

<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />

Per ulteriori informazioni sull'utilizzo dei criteri, vedere: