獲取已注冊的 azure 應用程序以訪問密鑰保管庫

Question

我無法讓我注冊的 azure 應用程序（在用戶計算機上運行的 C#.Net Core 應用程序）訪問其存儲在 azure 密鑰庫中的客戶端密碼。 該應用程序已添加到 azure 廣告組中，該廣告組已獲得密鑰保管庫的訪問策略。 我覺得這應該可行，但它沒有，它返回“身份驗證不可用，未找到托管身份端點”：

var creds = new ManagedIdentityCredential(clientId);
SecretClient secretClient = new SecretClient(new Uri(url), creds);

此代碼塊有效，但這只是因為我的用戶帳戶也具有密鑰保管庫的訪問策略：

SecretClient secretClient = new SecretClient(new Uri(url), new DefaultAzureCredential());

我是否缺少另一個步驟來設置我的注冊應用程序，或者是否有另一種使用 appid/clientid 建立憑據的方法？

Answer 1

如您所知，如果您沒有秘密，您將無法完成身份驗證。 如果沒有身份驗證，您將無法訪問密鑰庫以獲取客戶端密碼。

使用客戶端密碼進行身份驗證並不安全，只能用於測試目的。 推薦的方法是使用客戶端證書。 請參閱本教程以了解如何設置服務主體以對密鑰保管庫進行身份驗證並檢索機密。

這篇第三方文章與如何使用客戶端 ID 和客戶端密碼對密鑰保管庫進行身份驗證有關。 可以看到我們需要提前知道client secret。