有没有办法在没有azure AD的情况下访问Azure Key Vault？

Question

我想使用azure密钥保管库来存储没有azure广告身份验证的控制台应用程序的连接字符串.

那么,有没有办法在没有azure AD的情况下访问Azure Key Vault？

Answer 1

遗憾的是,您现在无法在没有Azure AD身份验证的情况下访问Azure Key Vault.

密钥保管库客户端应用程序需要访问Azure Active Directory端点以进行身份​​验证.使用的端点取决于Azure AD租户配置,主体类型(用户主体或服务主体)以及帐户类型.

您可以在此官方文档中查看有关Azure Key Vault身份验证的更多详细信息.

此外,如果这对您很重要,您可以在此UserVoice页面中发布您的想法.Azure团队将会看到它.

Answer 2

不直接，不。Key Vault 需要 AAD 身份验证。您需要向AAD 注册某些东西/某人才能从 Key Vault 检索机密（您的连接字符串）。

你是特别想使用 Key Vault 来存储你的连接字符串，还是只想将它们保存在 Azure 中而不是固定在 Azure Key Vault 上？如果您没有固定在 Key Vault 上，并且没有将它用于其他任何事情，也许可以考虑将您的连接字符串放在 Azure 存储帐户中？您可以将连接字符串存储在 Azure 表、Azure Blob 中的文件或 Azure 文件等中。无论哪种方式最适合您 - 它仍会在静态时加密。https://docs.microsoft.com/en-us/azure/storage/

我猜您不想通过用户身份验证，您只想访问连接字符串。我的回答是基于这个假设。

你仍然需要一些东西作为你的控制台应用程序的中介。某些内容需要在 Azure 中进行身份验证才能访问连接字符串。我建议尝试使用 https 触发的 Azure 函数作为一种简单、轻量级的方法来做到这一点。您可以使用功能级授权，即在本机应用程序的代码中嵌入功能键。它在对函数端点的 GET 调用中使用该代码来建立其调用函数的授权。当我这样做时，我发现此链接很有帮助：http : //dontcodetired.com/blog/post/Azure-HTTP-Function-Authorization-with-Function-Keys

然后该函数可以：

a) 向连接字符串所在的存储帐户提供限时共享访问签名，如果您喜欢这种方法，请访问 https://docs.microsoft.com/en-us/azure/storage/common/storage-dotnet -shared-access-signature-part-1

或者

b) 实际上将连接字符串存储在函数目录中的本地文件中或作为函数应用程序设置，如果您实际上不想在 Azure 中进行静态加密（本地文件可通过函数的可选ExecutionContext参数FunctionDirectory成员访问）

或者

c) 如果您仍想使用 Key Vault，请在 AAD 中注册您的函数应用，并让它代表您的控制台应用调用 Key Vault。

然后，https 功能应用程序可以充当您的看门人，在您的控制台应用程序中嵌入一个简单的功能键作为授权。您可以将函数的返回类型保留为您需要的连接字符串，而不要在控制台应用程序中打开任何其他内容。

ASP.NET Web API 服务也可以，但如果不经常调用 (YMMV)，函数的按使用付费性质可能会使其更具成本效益。

这都是基于您不想对用户进行身份验证的假设。如果这样做，但它们是外部的并且您不想使用 AAD，则您可能需要查看 Azure B2C 以授权访问。我还没有尝试过，但这是链接：

https://azure.microsoft.com/en-gb/services/active-directory-b2c/