الهويات المدارة لخدمة Azure SignalR

في Azure SignalR Service، يمكنك استخدام هوية مدارة من معرف Microsoft Entra إلى:

• الحصول على رموز الوصول المميزة.
• الوصول إلى البيانات السرية في Azure Key Vault.

تدعم الخدمة هوية مدارة واحدة فقط. يمكنك إنشاء هوية معينة من قبل النظام أو هوية معينة من قبل المستخدم. يتم تخصيص الهوية المعينة من قبل النظام لمثيل خدمة Azure SignalR ويتم حذفها عند حذف المثيل. تتم إدارة الهوية المعينة من قبل المستخدم بشكل مستقل عن مورد خدمة Azure SignalR.

توضح هذه المقالة كيفية إنشاء هوية مدارة لخدمة Azure SignalR وكيفية استخدامها في سيناريوهات بلا خادم.

المتطلبات الأساسية

لاستخدام هوية مدارة، يجب أن يكون لديك العناصر التالية:

• اشتراك Azure. في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.
• مورد Azure SignalR Service.
• موارد المصدر التي تريد الوصول إليها، مثل مورد Azure Key Vault.
• تطبيق Azure Functions (تطبيق الوظائف).

إضافة هوية مدارة إلى خدمة Azure SignalR

يمكنك إضافة هوية مدارة إلى Azure SignalR Service في مدخل Azure أو Azure CLI. توضح هذه المقالة كيفية إضافة هوية مدارة إلى Azure SignalR Service في مدخل Microsoft Azure.

إضافة يعيِّنها النظام

لإضافة هوية مدارة معينة من قبل النظام إلى مثيل خدمة Azure SignalR:

1. في مدخل Microsoft Azure، استعرض للوصول إلى مثيل خدمة Azure SignalR.

2. حدد "Identity".

3. في علامة التبويب تعيين النظام، قم بتبديل الحالة إلى تشغيل.

   

4. حدد حفظ.

5. حدد نعم لتأكيد التغيير.

إضافة هوية يُعينها المستخدم

لإضافة هوية معينة من قبل المستخدم إلى مثيل خدمة Azure SignalR، تحتاج إلى إنشاء الهوية ثم إضافتها إلى الخدمة.

1. إنشاء مورد هوية مُدارة يعينها المستخدم وفقًا لهذه الإرشادات.

2. في مدخل Microsoft Azure، استعرض للوصول إلى مثيل خدمة Azure SignalR.

3. حدد "Identity".

4. في علامة التبويب تعيين المستخدم، حدد إضافة.

5. في القائمة المنسدلة User assigned managed identities ، حدد الهوية.

   

6. حدد إضافة.

استخدام هوية مدارة في سيناريوهات بلا خادم

خدمة Azure SignalR هي خدمة مدارة بالكامل. يستخدم هوية مدارة للحصول على رمز مميز للوصول. في السيناريوهات بلا خادم، تضيف الخدمة رمز الوصول المميز إلى Authorization العنوان في طلب المصدر.

تمكين مصادقة الهوية المدارة في إعدادات المصدر

بعد إضافة هوية معينة من قبل النظام أو هوية معينة من قبل المستخدم إلى مثيل خدمة Azure SignalR، يمكنك تمكين مصادقة الهوية المدارة في إعدادات نقطة النهاية المصدر:

1. في مدخل Microsoft Azure، استعرض للوصول إلى مثيل خدمة Azure SignalR.

2. حدد الإعدادات من القائمة.

3. حدد وضع الخدمة بلا خادم.

4. في مربع النص Add an upstream URL pattern ، أدخل نمط عنوان URL لنقطة النهاية الأولية. راجع إعدادات قالب URL.

5. حدد Add one Upstream Setting، ثم حدد أي علامة نجمية.

   

6. في الإعدادات المصدر، قم بتكوين إعدادات نقطة النهاية المصدر.

   

7. في إعدادات مصادقة الهوية المدارة، بالنسبة إلى Audience في الرمز المميز الصادر، يمكنك تحديد المورد الهدف. سيصبح aud المورد مطالبة في الرمز المميز للوصول الذي تم الحصول عليه، والذي يمكن استخدامه كجزء من التحقق من الصحة في نقاط النهاية الأولية. يمكن أن يكون المورد بأحد التنسيقات التالية:

   • معرف التطبيق (العميل) لمدير الخدمة.
   • معرف التطبيق URI لمدير الخدمة.

   هام

   باستخدام مورد فارغ، احصل بشكل تلقائي على أهداف رمز مميز إلى Microsoft Graph. كما هو الحال اليوم، يمكن Microsoft Graph تشفير الرمز المميز بحيث لا يتوفر للتطبيق لمصادقة الرمز المميز بخلاف Microsoft Graph. في الممارسة الشائعة، يجب عليك دائما إنشاء كيان خدمة لتمثيل هدف المصدر الخاص بك. وتعيين معرف التطبيق أو معرف التطبيق URI لمدير الخدمة الذي أنشأته.

المصادقة في تطبيق الوظائف

يمكنك بسهولة تعيين التحقق من صحة الوصول لتطبيق دالة دون تغييرات التعليمات البرمجية باستخدام مدخل Microsoft Azure:

1. في مدخل Microsoft Azure، انتقل إلى تطبيق الوظائف.

2. حدد مصادقة‬ من قائمة.

3. انقر فوق إضافة مزود الهوية.

4. في علامة التبويب Basics ، في القائمة المنسدلة Identity provider ، حدد Microsoft.

5. في الإجراء الذي يجب اتخاذه عند عدم مصادقة الطلب، حدد تسجيل الدخول باستخدام معرف Microsoft Entra.

6. يتم تحديد الخيار الخاص بإنشاء تسجيل جديد بشكل افتراضي. يمكنك تغيير اسم التسجيل. لمزيد من المعلومات حول تمكين موفر Microsoft Entra، راجع تكوين App Service أو تطبيق Azure Functions لاستخدام تسجيل الدخول إلى Microsoft Entra ID.

   

7. انتقل إلى خدمة Azure SignalR واتبع الخطوات لإضافة هوية معينة من قبل النظام أو هوية معينة من قبل المستخدم.

8. في خدمة Azure SignalR، انتقل إلى إعدادات المصدر، ثم حدد استخدام الهوية المدارة وحدد من التطبيقات الموجودة. حدد التطبيق الذي قمت بإنشائه مسبقا.

بعد تكوين هذه الإعدادات، سيرفض تطبيق الدالة الطلبات دون رمز وصول في العنوان.

التحقق من صحة رموز الوصول المميزة

إذا كنت لا تستخدم WebApp أو Azure Function، يمكنك أيضا التحقق من صحة الرمز المميز.

الرمز المميز في Authorization العنوان هو رمز مميز للوصول النظام الأساسي للهويات في Microsoft.

للتحقق من صحة رموز الوصول المميزة، يجب أن يتحقق تطبيقك أيضا من صحة الجمهور ورمز التوقيع المميز. يجب التحقق من صحة هذه الرموز المميزة مقابل القيم الموجودة في مستند اكتشاف OpenID. على سبيل المثال، راجع الإصدار المستقل عن المستأجر من المستند.

يحتوي برنامج Microsoft Entra الوسيط على قدرات مضمنة للتحقق من صحة رموز الوصول المميزة. يمكنك الاستعراض عبر نماذج التعليمات البرمجية النظام الأساسي للهويات في Microsoft للعثور على واحدة باللغة التي تختارها.

تتوفر المكتبات ونماذج التعليمات البرمجية التي توضح كيفية التعامل مع التحقق من صحة الرمز المميز. تتوفر أيضا العديد من مكتبات الشركاء مفتوحة المصدر للتحقق من صحة رمز ويب JSON المميز (JWT). هناك خيار واحد على الأقل لكل نظام أساسي ولغة تقريبا. لمزيد من المعلومات حول مكتبات مصادقة Microsoft Entra ونماذج التعليمات البرمجية، راجع مكتبات المصادقة النظام الأساسي للهويات في Microsoft.

استخدام هوية مدارة لمرجع Key Vault

يمكن لخدمة Azure SignalR الوصول إلى Key Vault للحصول على أسرار باستخدام الهوية المدارة.

1. أضف هوية معينة من قبل النظام أو هوية معينة من قبل المستخدم إلى مثيل خدمة Azure SignalR.
2. منح إذن قراءة سري للهوية المدارة في نهج الوصول في Key Vault. راجع تعيين نهج الوصول إلى Key Vault باستخدام مدخل Microsoft Azure.

حاليا، يمكنك استخدام هذه الميزة للإشارة إلى سر في نمط URL المصدر.

الخطوات التالية

• تطوير وتكوين وظائف Azure مع خدمة Azure SignalR