Добавление учетных данных приложения и управление ими в идентификаторе Microsoft Entra

Иногда называется открытым ключом, поэтому сертификат является рекомендуемым типом учетных данных, так как они считаются более безопасными, чем секреты клиента.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.

2. Выберите Сертификаты и секреты>Сертификаты>Загрузить сертификат.

3. Выберите отправляемый файл. Он должен быть одного из следующих типов файлов: CER, PEM, CRT.

4. Нажмите кнопку "Добавить".

5. Запишите отпечаток сертификата для использования в коде клиентского приложения.

   

Иногда называется паролем приложения, секрет клиента — это строковое значение, которое приложение может использовать вместо сертификата для идентификации себя.

Секреты клиентов являются менее безопасными, чем сертификаты или федеративные учетные данные, поэтому не следует использовать в рабочих средах. Хотя они могут быть удобными для разработки локальных приложений, необходимо использовать сертификаты или федеративные учетные данные для любых приложений, работающих в рабочей среде, чтобы обеспечить более высокую безопасность.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.

2. Выберите Сертификаты и секреты>Секреты клиента>Создать секрет клиента.

3. Добавьте описание секрета клиента.

4. Выберите срок истечения действия секрета или укажите пользовательский срок его существования.

   • Срок жизни секрета клиента ограничен двумя годами (24 месяцами) или меньше. Вы не можете указать настраиваемое время существования дольше 24 месяцев.
   • Корпорация Майкрософт рекомендует задать значение срока действия менее 12 месяцев.

5. Нажмите кнопку "Добавить".

6. Запишите значение секрета клиента для использования в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы.

   

Федеративные учетные данные идентичности — это тип учетных данных, которые позволяют рабочим нагрузкам, таким как GitHub Actions, Kubernetes, или тем, которые выполняются на вычислительных платформах за пределами Azure, получать доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами, используя федерацию идентичности рабочей нагрузки.

Чтобы добавить федеративные учетные данные, выполните следующие действия.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.

2. Выберите Сертификаты и секреты>Федеративные учетные данные>Добавить учетные данные.

   

3. В раскрывающемся списке сценария федеративных учетных данных выберите один из поддерживаемых сценариев и следуйте соответствующим инструкциям, чтобы завершить настройку.

   • Управляемые клиентом ключи для шифрования данных в клиенте с помощью Azure Key Vault в другом клиенте.
   • Развёртывание ресурсов Azure с помощью действий GitHub для настройки рабочего процесса GitHub, чтобы получить токены для вашего приложения и развернуть ресурсы на Azure.
   • Доступ Kubernetes к ресурсам Azure для настройки учетной записи службы Kubernetes с целью получения токенов для вашего приложения и доступа к ресурсам Azure.
   • Другой издатель должен настроить приложение для доверия управляемой учетной записи или учетной записи, управляемой внешним поставщиком OpenID Connect, чтобы получить токены для вашего приложения и получить доступ к ресурсам Azure.

Дополнительные сведения о том, как получить маркер доступа с федеративными учетными данными, см. в платформе удостоверений Майкрософт и потоке учетных данных клиента OAuth 2.0.