代表用户对用户特定的Key Vault进行应用访问

时间:2019-04-25 09:48:48

标签: azure-keyvault

我试图代表用户访问用户特定的密钥保管库秘密,并对Azure IAM访问策略与密钥保管库访问策略如何一起使用感到有些困惑。我要做的是向应用程序授予用户特定的密钥保管库访问权限。

阅读Azure Key Vault文档,似乎“用户加应用程序访问/化合物身份”将允许我这样做。但是我似乎在Azure文档中找不到该实现的任何示例。我认为Key Vault中的“选择主体” =用户和“授权应用程序” = service_principal配置“添加访问策略”选项卡指定哪些应用程序可以代表用户访问哪个Key Vault,但是“授权应用程序”选项似乎没有任何作用

我正在使用App / Service Principal OAuth授权来检查用户是否在AD图形中,然后尝试代表用户访问特定于用户的Key Vault。

我目前已测试但对我不起作用的访问策略:

  • 其中服务主体不具有对用户Azure Key Vault Service的委派权限的配置

    • 无论是什么IAM或Key Vault访问策略,都无法访问Key Vault-Azure将在令牌请求中给出“同意要求的错误”。
  • 服务主体具有对Azure Key Vault Service的委派权限的配置

    • 为用户/用户和服务主体设置密钥保管库访问策略后,我可以代表用户访问密钥保管库机密。
    • 但这适用于用户拥有的我不想要的任何密钥保管库。

任何人都可以向我指出如何代表用户访问特定于用户的Key Vault的正确方向吗?

0 个答案:

没有答案