在 Azure Stack Hub Key Vault 中存储服务主体凭据
在 Azure Stack Hub 上开发应用通常需要创建服务主体,并在部署之前使用这些凭据进行身份验证。 但是,有时会丢失服务主体的存储凭据。 本文介绍如何创建服务主体,并将值存储在 Azure Key Vault 中以供日后检索。
有关 Key Vault 的详细信息,请参阅 Azure Stack Hub 中的 Key Vault 简介。
先决条件
- 包含 Azure Key Vault 服务的产品/服务的订阅。
- PowerShell 已安装并配置为用于 Azure Stack Hub。
Azure Stack Hub 中的 Key Vault
Azure Stack Hub 中的 Key Vault 可帮助保护云应用和服务使用的加密密钥和机密。 使用 Key Vault 可以加密密钥和机密。
若要创建 Key Vault,请执行以下步骤:
登录到 Azure Stack Hub 门户。
在仪表板中,依次选择“+ 创建资源”、“安全 + 标识”、“Key Vault”。
在“创建密钥保管库”窗格中,为保管库分配名称。 保管库名称只能包含字母数字字符和连字符 (-), 不能以数字开头。
从可用订阅列表中选择订阅。
选择现有的资源组,或创建一个新的组。
选择定价层。
选择一个现有的访问策略,或创建一个新的访问策略。 使用访问策略可授予用户、应用程序或安全组对此保管库执行操作的权限。
(可选)选择“高级访问权限策略”以便能够访问所需功能。
配置设置后,请选择“确定”,然后选择“创建”。 Key Vault 部署随即开始。
创建服务主体
通过 Azure 门户登录到你的 Azure 帐户。
依次选择“Microsoft Entra ID”、“应用注册”、“添加”。
为应用提供名称和 URL。 选择“Web 应用/API”或“本机”作为要创建的应用的类型。 设置这些值后,选择“创建”。
依次选择“Active Directory”、“应用程序注册”、你的应用程序。
复制“应用程序 ID”并将其存储在应用代码中。 在引用“应用程序 ID”时,示例应用使用“客户端 ID”。
若要生成身份验证密钥,请选择“密钥”。
提供密钥的说明和持续时间。
选择“保存”。
复制单击“保存”后显示的密钥。
在 Key Vault 中存储服务主体
登录 Azure Stack Hub 用户门户,选择前面创建的密钥保管库,然后选择“机密”磁贴。
在“机密”窗格中,选择“生成/导入”。
在“创建机密”窗格中,从选项列表中选择“手动”。 如果已使用证书创建了服务主体,请从下拉列表中选择证书,然后上传文件。
输入从服务主体中复制的“应用程序 ID”作为密钥的名称。 密钥名称只能包含字母数字字符和连字符 (-)。
将服务主体中的密钥值粘贴到“值”选项卡中。
选择“服务主体”作为“内容类型”。
设置密钥的“激活日期”和“过期日期”值。
选择“创建”以开始部署。
成功创建机密后,服务主体信息将存储在那里。 随时可以在“机密”下面选择该机密,并查看或修改其属性。 “属性”部分包含机密标识符,即外部应用用来访问此机密的统一资源标识符 (URI)。