在 Microsoft Entra ID 中添加和管理应用程序凭据

证书有时称为公钥，是建议的凭据类型，因为我们认为证书比客户端机密更安全。

1. 在 Microsoft Entra 管理中心门户中，在“应用注册”中选择你的应用。

2. 选择“证书和机密”“证书”>“上传证书”>。

3. 选择你想要上传的文件。 它必须是以下文件类型之一：.cer、.pem、.crt 。

4. 选择 并添加。

5. 记录证书 指纹 ，以便在客户端应用程序代码中使用。

   

客户端密码有时称为应用程序密码，它是一个字符串值，应用可以使用该值代替证书来标识自身。

客户端机密的安全性低于证书或联合凭据，因此不应在生产环境中 使用 。 虽然它们可能方便本地应用开发，但必须对生产环境中运行的任何应用程序使用证书或联合凭据，以确保更高的安全性。

1. 在 Microsoft Entra 管理中心门户中，在“应用注册”中选择你的应用。

2. 选择“证书和机密”“客户端密码”>“新建客户端密码”>。

3. 为您的客户端密钥添加描述。

4. 选择机密的过期时间或指定自定义生存期。

   • 客户端机密生存期限制为两年（24 个月）或更少。 不能指定超过 24 个月的自定义生存期。
   • Microsoft 建议将过期时间值设置为小于 12 个月。

5. 选择 并添加。

6. 记录客户端密码 值 ，以便在客户端应用程序代码中使用。 退出此页面后，此机密值永不再显示。

   

联合标识凭据是一种凭据类型，此类凭据支持工作负载（例如 GitHub Actions、Kubernetes 上运行的工作负载，或在 Azure 外部的计算平台中运行的工作负载）访问受 Microsoft Entra 保护的资源，而无需使用工作负载标识联合身份验证管理机密。

若要添加联合凭据，请执行以下步骤：

1. 在 Microsoft Entra 管理中心门户中，在“应用注册”中选择你的应用。

2. 选择“证书和机密”“联合凭据”>“添加凭据”。>

   

3. 在“联合凭据方案”下拉框中选择一种支持的方案，并按照相应的指导完成配置。

   • 客户管理的密钥 ，用于使用另一租户中的 Azure Key Vault 加密租户中的数据。
   • 部署 Azure 资源的 GitHub Actions，用于配置 GitHub 工作流以获取应用程序的令牌并将资产部署到 Azure。
   • Kubernetes 访问 Azure 资源，以配置 Kubernetes 服务帐户，以获取应用程序的令牌并访问 Azure 资源。
   • 其他颁发者，用于将应用程序配置为信任托管标识或由外部 OpenID Connect 提供程序管理的标识，以获取应用程序的令牌并访问 Azure 资源。

有关如何使用联合凭据获取访问令牌的详细信息，请参阅 Microsoft标识平台和 OAuth 2.0 客户端凭据流。