Ověřování a autorizace služby Azure Relay
Existují dva způsoby ověřování a autorizace přístupu k prostředkům Azure Relay: ID Microsoft Entra a sdílené přístupové podpisy (SAS). Tento článek obsahuje podrobnosti o používání těchto dvou typů mechanismů zabezpečení.
Microsoft Entra ID
Integrace Microsoft Entra pro prostředky Azure Relay poskytuje řízení přístupu na základě role v Azure (Azure RBAC) pro jemně odstupňované řízení přístupu klienta k prostředkům. S využitím Azure RBAC můžete udělit oprávnění objektu zabezpečení, kterým může být uživatel, skupina nebo instanční objekt aplikace. Instanční objekt zabezpečení je ověřený pomocí ID Microsoft Entra pro vrácení tokenu OAuth 2.0. Token se dá použít k autorizaci žádosti o přístup k prostředku Azure Relay.
Další informace o ověřování pomocí Microsoft Entra ID najdete v následujících článcích:
Důležité
Autorizace uživatelů nebo aplikací pomocí tokenu OAuth 2.0 vráceného id Microsoft Entra poskytuje vynikající zabezpečení a snadné použití u sdílených přístupových podpisů (SAS). S ID Microsoft Entra není nutné ukládat tokeny do kódu a riskovat potenciální ohrožení zabezpečení. Pokud je to možné, doporučujeme používat s vašimi aplikacemi Azure Relay ID Microsoft Entra.
Předdefinované role
Pro Azure Relay je správa oborů názvů a všech souvisejících prostředků prostřednictvím webu Azure Portal a rozhraní API pro správu prostředků Azure už chráněná pomocí modelu Azure RBAC. Azure poskytuje následující předdefinované role Azure pro autorizaci přístupu k oboru názvů služby Relay:
| Role | Popis |
|---|---|
| Vlastník služby Azure Relay | Pomocí této role můžete udělit úplný přístup k prostředkům Azure Relay. |
| Naslouchací proces služby Azure Relay | Pomocí této role udělte naslouchacímu procesu a entitě přístup pro čtení k prostředkům Azure Relay. |
| Odesílatel služby Azure Relay | Pomocí této role udělte prostředkům Azure Relay přístup pro čtení a čtení entit. |
Sdílený přístupový podpis
Aplikace se můžou ověřit ve službě Azure Relay pomocí ověřování sdíleného přístupového podpisu (SAS). Ověřování SAS umožňuje aplikacím ověřovat se ve službě Azure Relay pomocí přístupového klíče nakonfigurovaného v oboru názvů relay. Tento klíč pak můžete použít k vygenerování tokenu sdíleného přístupového podpisu, který můžou klienti použít k ověření v předávací službě.
Ověřování SAS umožňuje udělit uživateli přístup k prostředkům Azure Relay s konkrétními právy. Ověřování SAS zahrnuje konfiguraci kryptografického klíče s přidruženými právy k prostředku. Klienti pak můžou získat přístup k danému prostředku tím, že předají token SAS, který se skládá z URI prostředku, ke kterému se přistupuje, a vypršení platnosti podepsaného pomocí nakonfigurovaného klíče.
Klíče pro SAS můžete nakonfigurovat v oboru názvů služby Relay. Na rozdíl od zasílání zpráv service Bus podporuje relay hybrid Připojení ions neautorizované nebo anonymní odesílatele. Anonymní přístup pro entitu můžete povolit při jeho vytváření, jak je znázorněno na následujícím snímku obrazovky na portálu:
Pokud chcete použít SAS, můžete pro obor názvů služby Relay nakonfigurovat objekt SharedAccessAuthorizationRule , který se skládá z následujících vlastností:
- KeyName , který identifikuje pravidlo.
- PrimaryKey je kryptografický klíč používaný k podepisování a ověřování tokenů SAS.
- SecondaryKey je kryptografický klíč používaný k podepisování a ověřování tokenů SAS.
- Práva představující kolekci udělených práv Listen, Send nebo Manage.
Autorizační pravidla nakonfigurovaná na úrovni oboru názvů můžou udělit přístup ke všem přenosovým připojením v oboru názvů pro klienty s tokeny podepsanými pomocí odpovídajícího klíče. Pro obor názvů služby Relay je možné nakonfigurovat až 12 takových autorizačních pravidel. Ve výchozím nastavení se pro každý obor názvů při prvním zřízení nakonfiguruje pravidla SharedAccessAuthorizationRule se všemi právy.
Pro přístup k entitě vyžaduje klient token SAS vygenerovaný pomocí konkrétního pravidla SharedAccessAuthorizationRule. Token SAS se vygeneruje pomocí HMAC-SHA256 řetězce prostředku, který se skládá z identifikátoru URI prostředku, ke kterému se přistupuje, a vypršení platnosti kryptografického klíče přidruženého k autorizačnímu pravidlu.
Podpora ověřování SAS pro Azure Relay je součástí sady Azure .NET SDK verze 2.0 a novější. Sas zahrnuje podporu pro SharedAccessAuthorizationRule. Všechna rozhraní API, která přijímají připojovací řetězec jako parametr, zahrnují podporu připojovací řetězec SAS.
Ukázky
- Hybridní Připojení iony: .NET, Java, JavaScript
- WCF Relay: .NET
Další kroky
- Další podrobnosti o SAS najdete v tématu Ověřování service Bus pomocí sdílených přístupových podpisů .
- Podrobné informace o funkcích hybridních Připojení ionů najdete v průvodci protokolem Azure Relay Hybrid Připojení ions.
- Odpovídající informace o ověřování a autorizaci zasílání zpráv služby Service Bus najdete v tématu Ověřování a autorizace služby Service Bus.