X509CertificateCredential ou un moyen simple de s'authentifier sur le répertoire actif azur pour le service Windows

Question

Je n'arrive pas à comprendre comment implémenter X509CertificateCredential avec AuthenticationContext, ou même si c'est une bonne solution.

L'exemple http://code.msdn.microsoft.com/windowsazure/AAL-Server-to-Server-9aafccc1 ressemble au code client avec les clés privées et le portail WAAD au certificat public. J'ai peut-être tort.

L'histoire d'utilisateur que je recherche est, beaucoup de clients (services de Windows) aucune interface utilisateur qui doit se connecter à WebAPI de locataire unique. Comme le nombre de clients est important, nous ne souhaitons pas redéployer les certificats X509 sur chaque service Windows, le service informatique client nous supprimera.

Merci

Answer 1

Votre scénario nécessite des services de démon pour communiquer en toute sécurité avec une API Web. Pour cela, les services doivent avoir une identité que l'API Web comprend. En outre, les services doivent recevoir un justificatif d'identité grâce auquel ils peuvent obtenir un jeton qui prouve leur identité auprès de l'API Web. Azure AD est un bon choix: il vous permet de sécuriser vos propres API Web et de prendre en charge les identités principales des services. Vous regardez la bonne documentation, l'exemple d'application de mises à jour qui utilise cert auth avec AD Auth Library (ce que vous appelez le contexte d'authentification je suppose) est ici: https://github.com/AzureADSamples/Daemon-CertificateCredential-DotNet. Azure AD prend en charge deux types d'informations d'identification pour les services de démon: les certificats et le secret client clé symétrique (valable pour 1 ou 2 ans). Dans les deux cas, vous ne pouvez pas ne pas avoir à provisionner les informations d'identification sur chaque instance du service démon, et écrire l'automatisation pour mettre à jour ces informations d'identification lorsque le secret doit être déployé. Je crois que c'est votre meilleur pari.

Espérons que ça aide.