Ověřování a autorizace Service Bus

  • Článek
  • 2 min ke čtení

existují dva způsoby, jak ověřit a autorizovat přístup k prostředkům Azure Service Bus: Azure Active Directory (Azure AD) a signatury sdíleného přístupu (SAS). Tento článek obsahuje podrobné informace o použití těchto dvou typů mechanismů zabezpečení.

Azure Active Directory

integrace azure AD pro prostředky Service Bus poskytuje řízení přístupu na základě role (RBAC) v azure a zajišťuje tak jemně odstupňovanou kontrolu nad přístupem klienta k prostředkům. Službu Azure RBAC můžete použít k udělení oprávnění objektu zabezpečení, který může být uživatel, skupina nebo instanční objekt aplikace. Služba Azure AD ověřuje objekt zabezpečení, aby vrátil token OAuth 2,0. token se dá použít k autorizaci žádosti o přístup k prostředku Service Bus (frontě, tématu a tak dále).

Další informace o ověřování ve službě Azure AD najdete v následujících článcích:

Poznámka

Service Bus REST API podporuje ověřování OAuth pomocí Azure AD.

Důležité

Ověřování uživatelů nebo aplikací pomocí tokenu OAuth 2,0 vráceného službou Azure AD poskytuje vynikající zabezpečení a usnadňuje použití přes sdílené přístupové podpisy (SAS). V případě Azure AD není nutné ukládat tokeny do kódu a ohrozit potenciální ohrožení zabezpečení. pokud je to možné, doporučujeme používat azure AD s aplikacemi azure Service Bus.

Sdílený přístupový podpis

ověřování SAS umožňuje udělit uživateli přístup k prostředkům Service Bus s konkrétními právy. ověřování SAS v Service Bus zahrnuje konfiguraci kryptografického klíče s přidruženými právy pro prostředek Service Bus. Klienti pak mohou získat přístup k tomuto prostředku předložením tokenu SAS, který se skládá z přistupového identifikátoru URI prostředku a jeho vypršení platnosti podepsaného pomocí konfigurovaného klíče.

klíče pro SAS můžete nakonfigurovat na Service Bus oboru názvů. Klíč se vztahuje na všechny entity zasílání zpráv v rámci tohoto oboru názvů. můžete také nakonfigurovat klíče pro Service Bus fronty a témata. SAS je také podporován v Azure Relay.

Pokud chcete použít SAS, můžete nakonfigurovat autorizační pravidlo sdíleného přístupu pro obor názvů, frontu nebo téma. Toto pravidlo se skládá z následujících prvků:

  • KeyName: identifikuje pravidlo.
  • PrimaryKey: kryptografický klíč, který slouží k podepisování/ověřování tokenů SAS.
  • SecondaryKey: kryptografický klíč, který slouží k podepisování/ověřování tokenů SAS.
  • Práva: představuje shromažďování udělených oprávnění k naslouchání, odesílání nebo správě .

Autorizační pravidla konfigurovaná na úrovni oboru názvů můžou udělit přístup ke všem entitám v oboru názvů pro klienty s tokeny podepsanými pomocí odpovídajícího klíče. pro Service Bus obor názvů, frontu nebo téma můžete nakonfigurovat až 12 těchto autorizačních pravidel. Ve výchozím nastavení je autorizační pravidlo sdíleného přístupu se všemi právy nakonfigurované pro každý obor názvů při prvním zřízení.

Pro přístup k entitě vyžaduje klient token SAS generovaný pomocí určitého autorizačního pravidla sdíleného přístupu. Token SAS se vygeneruje pomocí HMAC-SHA256 řetězce prostředku, který se skládá z identifikátoru URI prostředku, ke kterému se přistupuje, a vypršení platnosti kryptografického klíče přidruženého k autorizačnímu pravidlu.

podpora ověřování SAS pro Service Bus je obsažená v sadě Azure .net SDK verze 2,0 a novější. SAS zahrnuje podporu pro autorizační pravidlo sdíleného přístupu. Všechna rozhraní API, která přijímají připojovací řetězec jako parametr, zahrnují podporu připojovacích řetězců SAS.

Další kroky

Další informace o ověřování ve službě Azure AD najdete v následujících článcích:

Další informace o ověřování pomocí SAS najdete v následujících článcích: