Zabezpieczenia
W tym temacie opisano model zabezpieczeń usługi Azure Notification Hubs. Ponieważ usługa Notification Hubs jest jednostką Service Bus, implementuje ten sam model zabezpieczeń co Service Bus. Aby uzyskać więcej informacji, zobacz tematy dotyczące uwierzytelniania Service Bus.
Zabezpieczenia wpisów tajnych dostępu współdzielonego (SAS)
Usługa Notification Hubs implementuje schemat zabezpieczeń na poziomie jednostki o nazwie SAS (sygnatura dostępu współdzielonego). Ten schemat umożliwia jednostkom obsługi komunikatów deklarowanie maksymalnie 12 reguł autoryzacji w ich opisie, które udzielają praw do tej jednostki.
Każda reguła zawiera nazwę, wartość klucza (wspólny wpis tajny) i zestaw praw, jak wyjaśniono w sekcji "Oświadczenia zabezpieczeń". Podczas tworzenia centrum powiadomień tworzone są dwie reguły: jedna z prawami nasłuchiwania (używanymi przez aplikację kliencką) i jedną z wszystkimi prawami (których używa zaplecze aplikacji).
W przypadku zarządzania rejestracją z aplikacji klienckich, jeśli informacje wysyłane za pośrednictwem powiadomień nie są poufne (na przykład aktualizacje pogody), typowym sposobem uzyskania dostępu do centrum powiadomień jest nadanie wartości klucza reguły Tylko nasłuchiwanie dostępu do aplikacji klienckiej i nadanie kluczowej wartości reguły pełnego dostępu do zaplecza aplikacji.
Nie zaleca się osadzania wartości klucza w aplikacjach klienckich ze sklepu Windows Store. Aby uniknąć osadzania wartości klucza, należy pobrać aplikację kliencką z zaplecza aplikacji podczas uruchamiania.
Ważne jest, aby zrozumieć, że klucz z dostępem do nasłuchiwania umożliwia aplikacji klienckiej zarejestrowanie się pod kątem dowolnego tagu. Jeśli aplikacja musi ograniczyć rejestracje do określonych tagów określonym klientom (na przykład gdy tagi reprezentują identyfikatory użytkowników), zaplecze aplikacji musi wykonać rejestracje. Aby uzyskać więcej informacji, zobacz Zarządzanie rejestracją. Należy pamiętać, że w ten sposób aplikacja kliencka nie będzie miała bezpośredniego dostępu do usługi Notification Hubs.
Oświadczenia zabezpieczeń
Podobnie jak w przypadku innych jednostek, operacje usługi Notification Hub są dozwolone dla trzech oświadczeń zabezpieczeń: Nasłuchiwanie, Wysyłanie i zarządzanie.
| Claim | Opis | Dozwolone operacje |
|---|---|---|
Nasłuchiwanie |
Tworzenie/aktualizowanie, odczytywanie i usuwanie rejestracji jednokrotnych. |
Tworzenie/aktualizowanie rejestracji. Przeczytaj rejestrację. Przeczytaj wszystkie rejestracje dla uchwytu. Usuń rejestrację. |
Wysyłanie |
Wysyłanie komunikatów do centrum powiadomień. |
Wyślij wiadomość. |
Zarządzanie |
Operacje CRUD w usłudze Notification Hubs (w tym aktualizowanie poświadczeń systemu powiadomień i kluczy zabezpieczeń) oraz odczytywanie rejestracji na podstawie tagów. |
Tworzenie/aktualizowanie/odczytywanie/usuwanie centrów powiadomień. Odczyt rejestracji według tagu. |
Usługa Notification Hubs akceptuje oświadczenia przyznane przez tokeny Microsoft Azure Access Control oraz tokeny podpisu wygenerowane przy użyciu kluczy udostępnionych skonfigurowanych bezpośrednio w centrum powiadomień.