Vereenvoudigde Service Bus-verificatie en -autorisatie

Er zijn twee manieren om toegang tot Azure Service Bus te verifiëren en autoriseren:

  • Microsoft Entra ID
  • Shared Access Signatures (SAS).

In dit artikel vindt u meer informatie over het gebruik van deze twee typen beveiligingsmechanismen.

Microsoft Entra ID

Microsoft Entra-integratie met Service Bus biedt op rollen gebaseerd toegangsbeheer (RBAC) voor Service Bus-resources. U kunt Azure RBAC gebruiken om machtigingen te verlenen aan een beveiligingsprincipaal. Dit kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit zijn. Microsoft Entra verifieert de beveiligingsprincipaal en retourneert een OAuth 2.0-token. Dit token kan worden gebruikt om een aanvraag te autoriseren voor toegang tot een Service Bus-resource (wachtrij, onderwerp, enzovoort).

Zie de volgende artikelen voor meer informatie over verificatie met Microsoft Entra ID:

Notitie

Service Bus REST API ondersteunt OAuth-verificatie met Microsoft Entra-id.

Belangrijk

Het autoriseren van gebruikers of toepassingen met behulp van OAuth 2.0-token dat wordt geretourneerd door Microsoft Entra ID biedt superieure beveiliging en gebruiksgemak ten opzichte van handtekeningen voor gedeelde toegang (SAS). Met Microsoft Entra ID hoeft u geen tokens op te slaan in uw code en potentiële beveiligingsproblemen te riskeren. U wordt aangeraden Microsoft Entra ID te gebruiken met uw Azure Service Bus-toepassingen, indien mogelijk.

U kunt lokale of SAS-sleutelverificatie uitschakelen voor een Service Bus-naamruimte en alleen Microsoft Entra-verificatie toestaan. Zie Lokale verificatie uitschakelen voor stapsgewijze instructies.

Shared Access Signature

Met SAS-verificatie kunt u een gebruiker toegang verlenen tot Service Bus-resources, met specifieke rechten. SAS-verificatie in Service Bus omvat de configuratie van een cryptografische sleutel met bijbehorende rechten op een Service Bus-resource. Clients kunnen vervolgens toegang krijgen tot die resource door een SAS-token te presenteren, dat bestaat uit de resource-URI die wordt geopend en een vervaldatum die is ondertekend met de geconfigureerde sleutel.

U kunt sleutels voor SAS configureren in een Service Bus-naamruimte. De sleutel is van toepassing op alle berichtenentiteiten binnen die naamruimte. U kunt ook sleutels configureren voor Service Bus-wachtrijen en onderwerpen. Als u SAS wilt gebruiken, kunt u een autorisatieregel voor gedeelde toegang configureren voor een naamruimte, wachtrij of onderwerp. Deze regel bestaat uit de volgende elementen:

  • KeyName: identificeert de regel.
  • PrimaryKey: een cryptografische sleutel die wordt gebruikt voor het ondertekenen/valideren van SAS-tokens.
  • SecondaryKey: een cryptografische sleutel die wordt gebruikt voor het ondertekenen/valideren van SAS-tokens.
  • Rechten: vertegenwoordigt de verzameling van de verleende rechten voor luisteren, verzenden of beheren .

Autorisatieregels die op naamruimteniveau zijn geconfigureerd, kunnen toegang verlenen aan alle entiteiten in een naamruimte voor clients met tokens die zijn ondertekend met behulp van de bijbehorende sleutel. U kunt maximaal 12 dergelijke autorisatieregels configureren voor een Service Bus-naamruimte, wachtrij of onderwerp. Standaard wordt een regel voor gedeelde toegangsautorisatie met alle rechten geconfigureerd voor elke naamruimte wanneer deze voor het eerst wordt ingericht.

Voor toegang tot een entiteit vereist de client een SAS-token dat is gegenereerd met behulp van een specifieke autorisatieregel voor gedeelde toegang. Het SAS-token wordt gegenereerd met behulp van de HMAC-SHA256 van een resourcereeks die bestaat uit de resource-URI waarop de toegang wordt geclaimd en een vervaldatum met een cryptografische sleutel die is gekoppeld aan de autorisatieregel.

Ondersteuning voor SAS-verificatie voor Service Bus is opgenomen in azure .NET SDK-versies 2.0 en hoger. SAS bevat ondersteuning voor een autorisatieregel voor gedeelde toegang. Alle API's die een verbindingsreeks als parameter accepteren, bevatten ondersteuning voor SAS-verbindingsreeks s.

Volgende stappen

Zie de volgende artikelen voor meer informatie over verificatie met Microsoft Entra ID:

Zie de volgende artikelen voor meer informatie over verificatie met SAS: