Кажется, что Azure Key Vault не поддерживает политики доступа, назначенные группам; только те, которые назначены пользователям или принципам обслуживания. Он также поддерживает максимум 10 политик доступа для каждого хранилища ключей, что означает, что я не могу назначить всех людей, которых я хочу иметь доступ по отдельности.Azure Key Vault для управления секретами в производстве и разработке
Я не хочу передавать клиентские секреты всем разработчикам. В случае развернутого приложения передача одного секретного клиента, чтобы код мог аутентифицироваться в качестве принципала службы, а затем получить секреты в порядке.
Разработчики проходят аутентификацию AAD через NTLM/Kerberos (через ADFS), чтобы получить токен доступа (а не через секрет клиента). Получив этот токен доступа, они должны иметь доступ к безопасно сохраненным формам всех других секретов, необходимых для запуска нашего приложения (так же, как это делает производственный код при аутентификации в качестве принципала службы).
Как это сделать?
Это сработает ... но это довольно болезненное обходное решение ... и теперь это приложение должно обладать секретностью клиента, что и есть Я стараюсь избегать – Jeff
Да. Это одно приложение должно иметь доступ к тайне (сертификат или пароль). Отредактировано, чтобы отразить боль. : | –
@Jeff Обновлено, чтобы отразить недавнее обновление Key Vault: теперь группы поддерживаются. –