在 Azure KeyVault 中保护 Azure AD 应用程序客户端 ID 和机密的策略

【问题标题】:Strategy for securing Azure AD application Client ID and Secret in Azure KeyVault在 Azure KeyVault 中保护 Azure AD 应用程序客户端 ID 和机密的策略
【发布时间】:2017-06-08 10:54:29
【问题描述】:

我们计划使用 azure key vault 来保护数据库连接字符串的其他机密,例如Azure AD 应用程序机密和客户端 ID。

但是在从 key-vault 获取这些值时,我们需要向 API 提供 Azure AD 客户端 ID 和机密,并且我们最终在 application.json 文件中设置这些值。

在 Azure Key-vault 中存储安全 Azure AD 客户端 ID 和机密的最佳方式是什么?我知道我们可以创建单独的 AD 应用程序并加以利用,但我想避免创建新的应用程序。

【问题讨论】:

    标签: azure asp.net-core azure-active-directory


    【解决方案1】:

    您正在使用 key-vault 来保护 clientID/secret ,就像您创建一个密钥(key-vault)来访问保险箱中的资源(clientID/secret),但您需要另一个密钥才能使用 key-vault key .. ..这似乎是一个无限循环。如果该应用托管在 azure(app service) 上,您可以将客户端 ID/秘密存储在应用服务的应用程序设置刀片中的 App settings 中。云中的 Azure Web App 配置将在运行时注入到配置系统中。您不会在系统文件(web.config)中设置配置,并且 azure 提供基本的安全保护。

    【讨论】:

    • 是的,我们只考虑过这种方法。谢谢。
    • 我认为这是一个非常合理的问题。它是关于如何引导 Vault 集成的。我问自己这个问题已经有一段时间了。所以我对 Azure Key VAult 的后续问题是:“应用程序设置”区域是否足够安全?开发人员/运营商可以以纯文本形式检索秘密吗?或者这些设置是否隐藏在 Portal 上?开发人员/操作人员可以通过 API 访问它吗? Azure 操作员可以访问这些应用程序设置吗?如果一切都非常安全,为什么不使用秘密商店的应用程序设置,至少对于常规用例,例如不需要密钥翻转的地方?谢谢。
    • 在进行更多研究时,我发现了stackoverflow.com/a/47250164/471722。这详细说明了基于 Azure 的应用程序的一些选项。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2019-10-01
    • 2023-03-24
    • 2016-06-06
    • 2017-08-08
    • 2017-07-29
    • 2020-01-04
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode