Beveiliging
In dit onderwerp wordt het beveiligingsmodel van Azure Notification Hubs beschreven. Omdat Notification Hubs een Service Bus entiteit zijn, implementeren ze hetzelfde beveiligingsmodel als Service Bus. Zie de onderwerpen Service Bus Verificatie voor meer informatie.
Shared Access Secret Security (SAS)
Notification Hubs implementeren een beveiligingsschema op entiteitsniveau met de naam SAS (Shared Access Signature). Met dit schema kunnen berichtenentiteiten maximaal 12 autorisatieregels declareren in hun beschrijving die rechten verlenen voor die entiteit.
Elke regel bevat een naam, een sleutelwaarde (gedeeld geheim) en een set rechten, zoals wordt uitgelegd in de sectie 'Beveiligingsclaims'. Wanneer u een Notification Hub maakt, worden er automatisch twee regels gemaakt: één met listen-rechten (die de client-app gebruikt) en één met alle rechten (die de back-end van de app gebruikt).
Bij het uitvoeren van registratiebeheer vanuit client-apps, als de informatie die via meldingen wordt verzonden niet gevoelig is (bijvoorbeeld weerupdates), is een veelgebruikte manier om toegang te krijgen tot een Notification Hub de sleutelwaarde van de regel alleen-lezentoegang tot de client-app te geven en de sleutelwaarde van de regel volledig toegang te geven tot de back-end van de app.
Het wordt niet aanbevolen om de sleutelwaarde in Windows Store-client-apps in te sluiten. Een manier om te voorkomen dat de sleutelwaarde wordt ingesloten, is door de client-app bij het opstarten uit de back-end van de app op te halen.
Het is belangrijk om te begrijpen dat de sleutel met listen-toegang een client-app toestaat om zich te registreren voor elke tag. Als uw app registraties moet beperken tot specifieke tags voor specifieke clients (bijvoorbeeld wanneer tags gebruikers-id's vertegenwoordigen), moet uw app-back-end de registraties uitvoeren. Zie Registratiebeheer voor meer informatie. Houd er rekening mee dat de client-app op deze manier geen directe toegang heeft tot Notification Hubs.
Beveiligingsclaims
Net als bij andere entiteiten zijn Notification Hub-bewerkingen toegestaan voor drie beveiligingsclaims: Luisteren, Verzenden en Beheren.
| Claim | Beschrijving | Bewerkingen zijn toegestaan |
|---|---|---|
Luisteren |
Enkele registraties maken/bijwerken, lezen en verwijderen. |
Registratie maken/bijwerken. Leesregistratie. Lees alle registraties voor een handle. Registratie verwijderen. |
Verzenden |
Berichten verzenden naar de Notification Hub. |
Bericht verzenden. |
Beheren |
CRUD's op Notification Hubs (inclusief het bijwerken van PNS-referenties en beveiligingssleutels) en leesregistraties op basis van tags. |
Notification Hubs maken/bijwerken/lezen/verwijderen. Lees registraties per tag. |
Notification Hubs accepteren claims die worden verleend door Microsoft Azure Access Control-tokens en door handtekeningtokens die zijn gegenereerd met gedeelde sleutels die rechtstreeks op de Notification Hub zijn geconfigureerd.