클라이언트 인증서 사용 인증
적용 대상: 모든 API Management 계층
authentication-certificate 정책을 사용하여 클라이언트 인증서를 사용하는 백 엔드 서비스를 인증합니다. 인증서가 먼저 API Management에 설치되면 지문이나 인증서 ID(리소스 이름)로 먼저 식별합니다.
주의
이 정책을 구성할 때 자격 증명 노출 위험을 최소화합니다. Microsoft에서는 백 엔드에서 지원하는 경우 관리 ID 인증이나 자격 증명 관리자와 같은 보다 안전한 인증 방법을 사용하는 것이 좋습니다. 정책 정의에서 중요한 정보를 구성하는 경우 명명된 값을 사용하고 Azure Key Vault에 비밀을 저장하는 것이 좋습니다.
주의
인증서가 Azure Key Vault에 저장된 인증서를 참조하는 경우 인증서 ID를 사용하여 식별합니다. 키 자격 증명 모음 인증서를 순환하면 API Management의 지문이 변경되고, 새 인증서가 지문으로 식별되는 경우 정책에서 새 인증서를 확인하지 않습니다.
참고 항목
정책 문에 제공된 순서대로 정책의 요소 및 자식 요소를 설정합니다. API Management 정책을 설정하거나 편집하는 방법에 대해 자세히 알아봅니다.
정책 문
<authentication-certificate thumbprint="thumbprint" certificate-id="resource name" body="certificate byte array" password="optional password"/>
특성
| 특성 | 설명 | 필수 항목 | 기본값 |
|---|---|---|---|
| thumbprint | 클라이언트 인증서에 대한 지문입니다. 정책 식이 허용됩니다. | thumbprint와 certificate-id 중 하나가 있을 수 있습니다. |
해당 없음 |
| certificate-id | 인증서 리소스 이름입니다. 정책 식이 허용됩니다. | thumbprint와 certificate-id 중 하나가 있을 수 있습니다. |
해당 없음 |
| 본문 | 클라이언트 인증서(바이트 배열)입니다. 기본 제공 인증서 저장소에서 인증서가 검색되지 않는 경우에 사용합니다. 정책 식이 허용됩니다. | 아니요 | 해당 없음 |
| password | 클라이언트 인증서에 대한 암호입니다. 정책 식이 허용됩니다. | body에 지정된 인증서가 암호로 보호된 경우 사용합니다. |
해당 없음 |
사용
사용법 참고 사항
- 백 엔드 서비스에 대한 액세스를 보호하는 데 사용되는 인증서를 관리하려면 키 자격 증명 모음 인증서를 구성하는 것이 좋습니다.
- 이 정책에서 인증서 암호를 구성하는 경우 명명된 값을 사용하는 것이 좋습니다.
예제
인증서 ID로 식별되는 클라이언트 인증서
<authentication-certificate certificate-id="544fe9ddf3b8f30fb490d90f" />
지문으로 식별되는 클라이언트 인증서
<authentication-certificate thumbprint="CA06F56B258B7A0D4F2B05470939478651151984" />
기본 제공된 인증서 저장소에서 검색되지 않고 정책에 설정된 클라이언트 인증서
<authentication-certificate body="@(context.Variables.GetValueOrDefault<byte[]>("byteCertificate"))" password="optional-certificate-password" />
관련 정책
관련 콘텐츠
정책 작업에 대한 자세한 내용은 다음을 참조하세요.
- 자습서: API 변환 및 보호
- 정책 문 및 해당 설정에 대한 전체 목록에 대한 정책 참조
- 정책 식
- 정책 설정 또는 편집
- 정책 구성 재사용
- 정책 코드 조각 리포지토리
- Azure API Management 정책 도구 키트
- Azure의 Microsoft Copilot을 사용하는 작성자 정책