看来,Azure密钥保管库不支持分配给组的访问策略;只有一些分配给用户或服务主体。它还支持每个密钥保管库最多10个访问策略,这意味着我无法分配所有我想单独访问的人员。Azure密钥保管库管理在生产和开发中的秘密
我不想将客户机密传递给所有开发人员。在部署应用程序的情况下,传递一个客户机密钥,以便代码可以作为服务主体进行身份验证,然后获取机密。
开发人员通过NTLM/Kerberos(通过ADFS)向AAD进行身份验证以获取访问令牌(不通过客户端密钥)。通过获取此访问令牌,他们应该能够访问安全存储的运行我们的应用程序所需的其他所有机密的表单(就像生产代码在作为服务主体进行身份验证时一样)。
我该如何做到这一点?
它会工作......但这是一个非常痛苦的解决方法......此应用程序现在需要拥有客户端密钥,这是我试图避免 – Jeff
是的。那一个应用程序需要访问一个秘密(证书或密码)。编辑以反映疼痛。 :| –
@Jeff已更新以反映Key Vault的最新更新:现在支持组。 –