Temel Kavramlar
Aşağıda Microsoft Azure Doğrulama ile ilgili bazı temel kavramlar verilmiştir.
JSON Web Belirteci (JWT)
JSON Web Belirteci (JWT), javascript nesne gösterimi (JSON) nesnesi olarak taraflar arasında bilgileri güvenli bir şekilde iletmek için açık standart bir RFC7519 yöntemidir. Bu bilgiler dijital olarak imzalandığından doğrulanabilir ve güvenilir olabilir. JWT'ler gizli dizi veya ortak/özel anahtar çifti kullanılarak imzalanabilir.
JSON Web Anahtarı (JWK)
JSON Web Anahtarı (JWK), şifreleme anahtarını temsil eden bir JSON veri yapısıdır. Bu belirtim, bir JWK kümesini temsil eden bir JWK Kümesi JSON veri yapısını da tanımlar.
Kanıtlama sağlayıcısı
Kanıtlama sağlayıcısı, Microsoft.Attestation adlı Azure kaynak sağlayıcısına aittir. Kaynak sağlayıcısı, Azure Doğrulama REST sözleşmesi sağlayan ve Azure Resource Manager kullanılarak dağıtılan bir hizmet uç noktasıdır. Her kanıtlama sağlayıcısı belirli, bulunabilir bir ilkeyi kabul eder. Kanıtlama sağlayıcıları, her kanıtlama türü için varsayılan bir ilkeyle oluşturulur (VBS kapanımında varsayılan ilke bulunmadığını unutmayın). SGX için varsayılan ilke hakkında daha fazla ayrıntı için kanıtlama ilkesi örneklerine bakın.
Kanıtlama isteği
Kanıtlama isteği, istemci uygulaması tarafından kanıtlama sağlayıcısına gönderilen serileştirilmiş bir JSON nesnesidir. SGX kapanım için istek nesnesinin iki özelliği vardır:
- "Quote" – "Quote" özelliğinin değeri, kanıtlama teklifinin Base64URL kodlanmış gösterimini içeren bir dizedir
- "EnclaveHeldData" – "EnclaveHeldData" özelliğinin değeri, Enclave Held Data'nın Base64URL kodlanmış gösterimini içeren bir dizedir.
Azure Doğrulama sağlanan "Teklif" değerini doğrular ve sağlanan Enclave Tutulan Verilerin SHA256 karmasının teklifteki reportData alanının ilk 32 baytında ifade edilmesini sağlar.
Kanıtlama ilkesi
Kanıtlama ilkesi, kanıtlama kanıtını işlemek için kullanılır ve müşteriler tarafından yapılandırılabilir. Azure Doğrulama merkezinde, kanıtları oluşturan talepleri işleyen bir ilke altyapısı yer alır. İlkeler, Azure Doğrulama kanıta dayalı (veya değil) bir kanıtlama belirteci verip vermeyeceğini belirlemek ve böylece Attester'i onaylayıp onaylamayacağını belirlemek için kullanılır. Buna göre, tüm ilkelerin geçirilememesi JWT belirtecinin verilmemesine neden olur.
Kanıtlama sağlayıcısındaki varsayılan ilke gereksinimleri karşılamıyorsa, müşteriler Azure Doğrulama tarafından desteklenen bölgelerin herhangi birinde özel ilkeler oluşturabilir. İlke yönetimi, müşterilere Azure Doğrulama tarafından sağlanan önemli bir özelliktir. İlkeler kanıtlama türüne özeldir ve kuşatmaları tanımlamak veya çıkış belirtecine talep eklemek ya da çıkış belirtecindeki talepleri değiştirmek için kullanılabilir.
Kanıtlama ilkesi örneklerine bakın
İlke imzalamanın avantajları
Kanıtlama ilkesi, bir kanıtlama belirtecinin Azure Doğrulama tarafından düzenlenip verilmeyeceğini belirleyen ilkedir. İlke ayrıca kanıtlama belirtecinde oluşturulacak talepleri de belirler. Bu nedenle, hizmet tarafından değerlendirilen ilkenin aslında yönetici tarafından yazılan ilke olması ve dış varlıklar tarafından değiştirilmemesi veya değiştirilmemesi son derece önemlidir.
Güven modeli, ilkeyi tanımlamak ve güncelleştirmek için kanıtlama sağlayıcısının yetkilendirme modelini tanımlar. Biri Microsoft Entra yetkilendirmesini, diğeri de müşteri tarafından yönetilen şifreleme anahtarlarını (yalıtılmış model olarak adlandırılır) temel alan iki model desteklenir. Yalıtılmış model, müşteri tarafından gönderilen ilkenin değiştirilmediğinden emin olmak için Azure Doğrulama etkinleştirir.
Yalıtılmış modelde, yönetici bir dosyada bir dizi güvenilir imzalama X.509 sertifikası belirten bir kanıtlama sağlayıcısı oluşturur. Yönetici daha sonra kanıtlama sağlayıcısına imzalı bir ilke ekleyebilir. Kanıtlama isteği işlenirken, Azure Doğrulama üst bilgideki "jwk" veya "x5c" parametresiyle temsil edilen ortak anahtarı kullanarak ilkenin imzasını doğrular. Azure Doğrulama ayrıca istek üst bilgisindeki ortak anahtarın kanıtlama sağlayıcısıyla ilişkili güvenilir imzalama sertifikaları listesinde olup olmadığını da doğrular. Bu şekilde, bağlı olan taraf (Azure Doğrulama) bildiği X.509 sertifikaları kullanılarak imzalanan bir ilkeye güvenebilir.
Örnekler için ilke imzalayan sertifika örneklerine bakın.
Kanıtlama belirteci
Azure Doğrulama yanıtı, değeri JWT içeren bir JSON dizesi olacaktır. Azure Doğrulama talepleri paketleyip imzalı bir JWT oluşturur. İmzalama işlemi, kanıtlama sağlayıcısının AttestUri öğesiyle eşleşen konu adına sahip otomatik olarak imzalanan bir sertifika kullanılarak gerçekleştirilir.
OpenID Meta Verileri Al API'si, OpenID Bağlan Bulma protokolü tarafından belirtilen bir OpenID Yapılandırma yanıtı döndürür. API, Azure Doğrulama tarafından kullanılan imzalama sertifikaları hakkındaki meta verileri alır.
Kanıtlama belirtecinin örneklerine bakın.
Bekleyen verilerin şifrelenmesi
Müşteri verilerini korumak için Azure Doğrulama verilerini Azure Depolama'da kalıcı hale getirmektir. Azure depolama, veri merkezlerine yazıldıkçe bekleyen verilerin şifrelenmesini sağlar ve müşterilerin bu verilere erişmesi için şifrelerini çözer. Bu şifreleme, Microsoft tarafından yönetilen bir şifreleme anahtarı kullanılarak gerçekleşir.
Azure Doğrulama, Azure depolamadaki verileri korumaya ek olarak hizmet VM'lerini şifrelemek için Azure Disk Şifrelemesi (ADE) kullanır. Azure gizli bilgi işlem ortamlarındaki bir kapanımda çalışan Azure Doğrulama için ADE uzantısı şu anda desteklenmiyor. Bu tür senaryolarda verilerin bellek içinde depolanmasını önlemek için sayfa dosyası devre dışı bırakılır.
Azure Doğrulama örneği yerel sabit disk sürücülerinde hiçbir müşteri verisi kalıcı değil.