0

Azure Key Vault は、グループに割り当てられたアクセス ポリシーをサポートしていないようです。ユーザーまたはサービス プリンシパルに割り当てられたもののみ。また、キー コンテナーごとに最大 10 個のアクセス ポリシーをサポートしているため、アクセスしたいすべてのユーザーを個別に割り当てることはできません。

すべての開発者にクライアント シークレットを渡したくありません。デプロイされたアプリケーションの場合、単一のクライアント シークレットを渡して、コードがサービス プリンシパルとして認証され、シークレットを取得できるようにすることは問題ありません。

開発者は、(クライアント シークレットではなく) NTLM/Kerberos を介して (ADFS を介して) AAD に対して認証を行い、アクセス トークンを取得します。このアクセス トークンを取得することで、アプリケーションの実行に必要な他のすべてのシークレットの安全に保存された形式にアクセスできるようになります (サービス プリンシパルとして認証するときに運用コードが行うのと同じように)。

どうすればこれを達成できますか?

4

1 に答える 1

3

Edit: Groups can now be associated to Key Vault access policies. Just specify the group's object ID where you would normally put the user object ID or the service principal object ID.

This is a bit of a painful work-around, but...

You could write a fairly simple app that adds a layer on top of Key Vault. This app (which could be a web app, an API or both) would be set up to use Azure AD for authentication, and would check the caller's group membership to determine if they should have access to a given secret. If they are, the app would retrieve the secret from Key Vault pass it along to the requester. (The app's service principal would be the one authorized on the Key Vault.)

于 2016-02-25T03:38:35.127 に答える