我正在与Azure保持同步,并尝试遵循最佳实践来保护WPF和Xamarin.Forms应用程序。
我正在使用Azure AD进行身份验证,并使用Key Vault来获取我的机密。
我的客户ID和租户设置如何?这些是建立与Azure的初始连接才能登录的必需条件。
调用密钥保险库也需要端点URI。
是将客户ID,租户,Key Vault端点视为机密,还是我对此进行了过度思考?我了解,如果不进行身份验证,任何人都无法访问或使用这些内容。
如何将它们检入Source Control?这样可以吗?
非常感谢您的想法和见解。
卡尔
答案 0 :(得分:5)
TenantId 几乎不是秘密。您可以使用以下网址获取任何Azure AD租户的租户元数据
https://login.microsoftonline.com/ {tenantID / domain} /。众所周知/ openid配置
例如 https://login.microsoftonline.com/microsoft.onmicrosoft.com/.well-known/openid-configuration
ClientId 也在http Urls中运行,因此不难发现。因此,重点应该是使用token validation或user assignment有效保护对应用程序的访问。
Managed identities for Azure resources可帮助避免在源代码管理中检入任何凭据,并且对于KeyVault尤其有用。