Azure Relay kimlik doğrulaması ve yetkilendirmesi
Azure Relay kaynaklarına erişimi doğrulamanın ve yetkilendirmenin iki yolu vardır: Microsoft Entra Kimliği ve Paylaşılan Erişim İmzaları (SAS). Bu makalede, bu iki tür güvenlik mekanizmasının kullanımıyla ilgili ayrıntılar verilmektedir.
Microsoft Entra Kimliği
Azure Relay kaynakları için Microsoft Entra tümleştirmesi, istemcinin kaynaklara erişimi üzerinde ayrıntılı denetim için Azure rol tabanlı erişim denetimi (Azure RBAC) sağlar. Bir kullanıcı, grup veya uygulama hizmeti sorumlusu arasından birine güvenlik sorumlusu olması için izin vermek üzere Azure RBAC kullanabilirsiniz. OAuth 2.0 belirtecini döndürmek için güvenlik sorumlusunun kimliği Microsoft Entra Id tarafından doğrulanır. Belirteç, Azure Relay kaynağına erişim isteği yetkilendirmek için kullanılabilir.
Microsoft Entra Id ile kimlik doğrulaması hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
Önemli
Microsoft Entra ID tarafından döndürülen OAuth 2.0 belirtecini kullanarak kullanıcıları veya uygulamaları yetkilendirmek, paylaşılan erişim imzaları (SAS) üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Microsoft Entra Id ile kodunuzda belirteçleri depolamanıza ve olası güvenlik açıklarını riske atmaya gerek yoktur. Mümkün olduğunda Azure Relay uygulamalarınızla Microsoft Entra Id kullanmanızı öneririz.
Yerleşik roller
Azure Relay için, Azure portalı ve Azure kaynak yönetimi API'sini kullanarak ad alanlarının ve tüm ilgili kaynakların yönetimi Azure RBAC modeli kullanılarak zaten korunur. Azure, Geçiş ad alanına erişim yetkisi vermek için aşağıdaki Azure yerleşik rollerini sağlar:
Rol | Tanım |
---|---|
Azure Relay Sahibi | Azure Relay kaynaklarına tam erişim vermek için bu rolü kullanın. |
Azure Relay Dinleyicisi | Azure Relay kaynaklarına dinleme ve varlık okuma erişimi vermek için bu rolü kullanın. |
Azure Relay Göndereni | Azure Relay kaynaklarına gönderme ve varlık okuma erişimi vermek için bu rolü kullanın. |
Paylaşılan Erişim İmzası
Uygulamalar, Paylaşılan Erişim İmzası (SAS) kimlik doğrulamasını kullanarak Azure Relay'de kimlik doğrulaması yapabilir. SAS kimlik doğrulaması, uygulamaların Relay ad alanında yapılandırılmış bir erişim anahtarı kullanarak Azure Relay hizmetinde kimlik doğrulaması yapmalarını sağlar. Daha sonra bu anahtarı kullanarak istemcilerin geçiş hizmetinde kimlik doğrulaması yapmak için kullanabileceği bir Paylaşılan Erişim İmzası belirteci oluşturabilirsiniz.
SAS kimlik doğrulaması , kullanıcıya belirli haklara sahip Azure Relay kaynaklarına erişim izni vermenizi sağlar. SAS kimlik doğrulaması, kaynak üzerinde ilişkili haklara sahip bir şifreleme anahtarının yapılandırılmasını içerir. İstemciler daha sonra erişilmekte olan kaynak URI'sini ve yapılandırılmış anahtarla imzalanan süre sonunu içeren bir SAS belirteci sunarak bu kaynağa erişim elde edebilir.
Geçiş ad alanında SAS anahtarlarını yapılandırabilirsiniz. Service Bus mesajlaşmadan farklı olarak, Geçiş Karma Bağlan ions yetkisiz veya anonim gönderenleri destekler. Varlık oluştururken, portaldan aşağıdaki ekran görüntüsünde gösterildiği gibi anonim erişimi etkinleştirebilirsiniz:
SAS kullanmak için, aşağıdaki özelliklerden oluşan bir Geçiş ad alanında SharedAccessAuthorizationRule nesnesi yapılandırabilirsiniz:
- Kuralı tanımlayan KeyName .
- PrimaryKey , SAS belirteçlerini imzalamak/doğrulamak için kullanılan bir şifreleme anahtarıdır.
- SecondaryKey , SAS belirteçlerini imzalamak/doğrulamak için kullanılan bir şifreleme anahtarıdır.
- Verilen Dinleme , Gönderme veya Yönetme haklarının koleksiyonunu temsil eden haklar.
Ad alanı düzeyinde yapılandırılan yetkilendirme kuralları, karşılık gelen anahtar kullanılarak imzalanmış belirteçlere sahip istemciler için ad alanında tüm geçiş bağlantılarına erişim verebilir. Bir Geçiş ad alanında en fazla 12 yetkilendirme kuralı yapılandırılabilir. Varsayılan olarak, tüm hakları olan bir SharedAccessAuthorizationRule ilk sağlandığında her ad alanı için yapılandırılır.
Bir varlığa erişmek için istemci, belirli bir SharedAccessAuthorizationRule kullanılarak oluşturulmuş bir SAS belirteci gerektirir. SAS belirteci, erişim talep edilen kaynak URI'sini ve yetkilendirme kuralıyla ilişkilendirilmiş şifreleme anahtarıyla bir süre sonunu içeren bir kaynak dizesinin HMAC-SHA256 kullanılarak oluşturulur.
Azure Relay için SAS kimlik doğrulaması desteği, Azure .NET SDK 2.0 ve sonraki sürümlerine dahildir. SAS, SharedAccessAuthorizationRule desteği içerir. Parametre olarak bir bağlantı dizesi kabul eden tüm API'ler SAS bağlantı dizesi desteği içerir.
Örnekler
- Karma Bağlan ions: .NET, Java, JavaScript
- WCF Geçişi: .NET
Sonraki adımlar
- SAS hakkında daha fazla bilgi için Paylaşılan Erişim İmzaları ile Service Bus kimlik doğrulamasını okumaya devam edin.
- Karma Bağlan ions özelliği hakkında ayrıntılı bilgi için Bkz. Azure Relay Karma Bağlan ions protokol kılavuzu.
- Service Bus Mesajlaşma kimlik doğrulaması ve yetkilendirmesi hakkında ilgili bilgiler için bkz . Service Bus kimlik doğrulaması ve yetkilendirmesi.