مصادقة وتفويض Azure Relay

  • مقالة
  • قراءة خلال 3 دقائق

هناك طريقتان لمصادقة وتفويض الوصول إلى موارد Azure Relay: Azure Active Directory (Azure AD) وتوقيعات الوصول المشترك (SAS). توفر هذه المقالة تفاصيل حول استخدام هذين النوعين من آليات الأمان.

Azure Active Directory (Preview)

يوفر Azure AD integration for Azure Relay resources التحكم في الوصول المستند إلى دور Azure (Azure RBAC) للتحكم الدقيق في وصول العميل إلى الموارد. يمكنك استخدام Azure RBAC لمنح أذونات لكيان الأمان، والذي قد يكون مستخدماً أو مجموعة أو مدير خدمة تطبيق. يتم مصادقة كيان الأمان بواسطة Microsoft Azure Active Directory لإرجاع الرمز المميز OAuth 2.0. يمكن استخدام الرمز المميز لتخويل طلب للوصول إلى مورد Azure Relay.

لمزيد من المعلومات حول المصادقة باستخدام AAD (دليل Azure النشط)، راجع المقالات التالية:

هام

يوفر ترخيص المستخدمين أو التطبيقات التي تستخدم رمز OAuth 2.0 المميز الذي تم إرجاعه بواسطة Microsoft Azure Active Directory أماناً فائقاً وسهولة في الاستخدام عبر توقيعات الوصول المشتركة (SAS). باستخدام Azure AD، ليست هناك حاجة لتخزين الرموز المميزة في التعليمات البرمجية الخاصة بك والمخاطرة بنقاط الضعف الأمنية المحتملة. نوصي باستخدام Azure AD مع تطبيقات Azure Relay عندما يكون ذلك ممكنا.

الأدوار المضمنة

بالنسبة إلى Azure Relay، فإن إدارة مساحات الأسماء وجميع الموارد ذات الصلة من خلال مدخل Azure وواجهة برمجة تطبيقات إدارة موارد Azure محمية بالفعل باستخدام نموذج Azure RPAC. يوفر Azure الأدوار المضمنة في Azure أدناه لتفويض الوصول إلى مساحة اسم ترحيل:

الدور الوصف
Azure Relay Owner استخدم هذا الدور لمنح حق الوصول الكامل إلى موارد Azure Relay.
Azure Relay Listener استخدم هذا الدور لمنح الاستماع ووصول قراءة الكيان إلى موارد Azure Relay.
Azure Relay Sender استخدم هذا الدور لمنح الإرسال وحق الوصول إلى موارد Azure Relay للقراءة.

توقيع الوصول المشترك

يمكن للتطبيقات المصادقة على Azure Relay باستخدام مصادقة توقيع الوصول المشترك (SAS). تمكن مصادقة SAS التطبيقات من المصادقة على خدمة Azure Relay باستخدام مفتاح وصول تم تكوينه على مساحة اسم Relay. يمكنك بعد ذلك استخدام هذا المفتاح لإنشاء رمز مميز لتوقيع الوصول المشترك يمكن للعملاء استخدامه للمصادقة على خدمة الترحيل.

تمكنك مصادقة SAS من منح المستخدم حق الوصول إلى موارد Azure Relay بحقوق محددة. تتضمن مصادقة SAS تكوين مفتاح تشفير مع الحقوق المرتبطة به على مورد. يمكن للعملاء بعد ذلك الوصول إلى هذا المورد عن طريق تقديم رمز SAS المميز، الذي يتكون من المورد URI التي يتم الوصول إليها و انتهاء الصلاحية الموقعة مع المفتاح المُكون.

يمكنك تكوين مفاتيح SAS على مساحة اسم ترحيل. على عكس رسائل ناقل الخدمة، تدعم اتصالات الترحيل المختلطة المرسلين غير المصرح لهم أو المجهولين. يمكنك تمكين الوصول المجهول للكيان عند إنشائه، كما هو موضح في لقطة الشاشة التالية من البوابة الإلكترونية:

A dialog box titled

لاستخدام SAS، يمكنك تكوين كائن SharedAccessAuthorizationRule على مساحة اسم ترحيل تتكون من الخصائص التالية:

  • اسم المفتاح الذي يحدد القاعدة.
  • PrimaryKey هو مفتاح تشفير يستخدم لتوقيع / التحقق من صحة رموز SAS.
  • SecondaryKey هو مفتاح تشفير يستخدم لتوقيع / التحقق من صحة رموز SAS.
  • الحقوق التي تمثل مجموعة حقوق الاستماع أو الإرسال أو الإدارة الممنوحة.

يمكن لقواعد التخويل التي تم تكوينها على مستوى مساحة الاسم منح حق الوصول إلى جميع اتصالات الترحيل في مساحة اسم للعملاء الذين لديهم رموز مميزة موقعة باستخدام المفتاح المقابل. يمكن تكوين ما يصل إلى 12 قاعدة تخويل من هذا القبيل على مساحة اسم الترحيل. بشكل افتراضي، يتم تكوين قاعدة SharedAccessAuthorizationRule مع جميع الحقوق لكل مساحة اسم عند توفيرها لأول مرة.

للوصول إلى كيان، يتطلب العميل رمزا مميزا ل SAS تم إنشاؤه باستخدام قاعدة SharedAccessAuthorizationRule. يتم إنشاء الرمز المميز SAS باستخدام HMAC-SHA256 لسلسلة مورد تتكون من المورد URI الذي يتم المطالبة الوصول إليه، و انتهاء صلاحية مع مفتاح التشفير المقترن بقاعدة التخويل.

يتم تضمين دعم مصادقة SAS ل Azure Relay في إصدارات Azure .NET SDK 2.0 والإصدارات الأحدث. تتضمن SAS دعما لقاعدة SharedAccessAuthorizationRule. تدعم كافة واجهات برمجة التطبيقات التي تقبل سلسلة اتصال كمعلمة سلاسل اتصال SAS.

الخطوات التالية