مشاركة عبر

استخدام معرف Microsoft Entra لمصادقة ذاكرة التخزين المؤقت

  • مقالة

توفر ذاكرة التخزين المؤقت Azure ل Redis طريقتين للمصادقة على مثيل ذاكرة التخزين المؤقت: مفاتيح الوصول ومعرف Microsoft Entra

على الرغم من أن مصادقة مفتاح الوصول بسيطة، إلا أنها تأتي مع مجموعة من التحديات حول الأمان وإدارة كلمة المرور. على النقيض من ذلك، في هذه المقالة، ستتعلم كيفية استخدام رمز Microsoft Entra المميز لمصادقة ذاكرة التخزين المؤقت.

يوفر Azure Cache for Redis آلية مصادقة خالية من كلمة المرور من خلال التكامل مع Microsoft Entra ID). يتضمن هذا التكامل أيضا وظيفة التحكم في الوصول المستندة إلى الدور المتوفرة من خلال قوائم التحكم في الوصول (ACLs) المدعومة في مصدر مفتوح Redis.

لاستخدام تكامل ACL، يجب أن يفترض تطبيق العميل الخاص بك هوية كيان Microsoft Entra، مثل كيان الخدمة أو الهوية المدارة، والاتصال بذاكرة التخزين المؤقت الخاصة بك. في هذه المقالة، ستتعلم كيفية استخدام كيان الخدمة أو الهوية المدارة للاتصال بذاكرة التخزين المؤقت، وكيفية منح الاتصال أذونات معرفة مسبقا استنادا إلى البيانات الاصطناعية Microsoft Entra المستخدمة للاتصال.

نطاق التوفر

المستوى أساسي ،وقياسي، ومتميز Enterprise وEnterprise Flash
‏‏التوفر ‏‏نعم‬ لا

المتطلبات الأساسية والقيود

  • يتم دعم المصادقة المستندة إلى معرف Microsoft Entra لاتصالات SSL وTLS 1.2 أو أعلى.
  • المصادقة المستندة إلى معرف Microsoft Entra غير مدعومة في Azure Cache لمثيلات Redis التي تعتمد على الخدمات السحابية.
  • المصادقة المستندة إلى معرف Microsoft Entra غير مدعومة في مستويات المؤسسة من ذاكرة التخزين المؤقت Azure ل Redis Enterprise.
  • تم حظر بعض أوامر Redis. للحصول على قائمة كاملة بالأوامر المحظورة، راجع أوامر Redis غير المدعومة في ذاكرة التخزين المؤقت Azure ل Redis.

هام

بمجرد إنشاء اتصال باستخدام رمز Microsoft Entra المميز، يجب أن تقوم تطبيقات العميل بتحديث رمز Microsoft Entra المميز بشكل دوري قبل انتهاء الصلاحية، وإرسال AUTH أمر إلى خادم Redis لتجنب تعطيل الاتصالات. لمزيد من المعلومات، راجع تكوين عميل Redis لاستخدام معرف Microsoft Entra.

تمكين مصادقة معرف Microsoft Entra على ذاكرة التخزين المؤقت

  1. في مدخل Microsoft Azure، حدد مثيل Azure Cache for Redis حيث تريد تكوين المصادقة المستندة إلى الرمز المميز ل Microsoft Entra.

  2. حدد Authentication من قائمة Resource.

  3. في جزء العمل، حدد Enable Microsoft Entra Authentication.

  4. حدد Enable Microsoft Entra Authentication، وأدخل اسم مستخدم صالح. يتم تعيين نهج وصول مالك البيانات تلقائيا للمستخدم الذي تدخله بشكل افتراضي عند تحديد حفظ. يمكنك أيضا إدخال هوية مدارة أو كيان خدمة للاتصال بمثيل ذاكرة التخزين المؤقت.

    لقطة شاشة تعرض المصادقة المحددة في قائمة الموارد وتم التحقق من تمكين مصادقة Microsoft Entra.

  5. يظهر مربع حوار منبثق يسألك عما إذا كنت تريد تحديث التكوين الخاص بك، ويبلغك أن الأمر يستغرق عدة دقائق. حدد نعم.

    هام

    بمجرد اكتمال عملية التمكين، يتم إعادة تشغيل العقد في مثيل ذاكرة التخزين المؤقت لتحميل التكوين الجديد. نوصي بإجراء هذه العملية أثناء نافذة الصيانة أو خارج ساعات العمل القصوى. قد تستغرق العملية ما يصل إلى 30 دقيقة.

للحصول على معلومات حول استخدام معرف Microsoft Entra مع Azure CLI، راجع صفحات المراجع للهوية.

استخدام تكوين الوصول إلى البيانات مع ذاكرة التخزين المؤقت

إذا كنت ترغب في استخدام نهج وصول مخصص بدلا من مالك بيانات Redis، فانتقل إلى تكوين الوصول إلى البيانات في قائمة الموارد. لمزيد من المعلومات، راجع تكوين نهج وصول مخصص إلى البيانات لتطبيقك.

  1. في مدخل Microsoft Azure، حدد Azure Cache لمثيل Redis حيث تريد إضافته إلى تكوين الوصول إلى البيانات.

  2. حدد تكوين الوصول إلى البيانات من قائمة الموارد.

  3. حدد إضافة واختر مستخدم Redis جديد.

  4. في علامة التبويب نهج الوصول، حدد أحد النهج المتوفرة في الجدول: مالك البيانات أو مساهم البيانات أو قارئ البيانات. ثم حدد Next:Redis Users.

    لقطة شاشة تعرض نهج الوصول المتوفرة.

  5. اختر إما المستخدم أو كيان الخدمة أو الهوية المدارة لتحديد كيفية تعيين الوصول إلى Azure Cache لمثيل Redis. إذا حددت المستخدم أو كيان الخدمة، وتريد إضافة مستخدم، يجب أولا تمكين مصادقة Microsoft Entra.

  6. ثم حدد Select members وحدد Select. ثم حدد Next : Review + Assign. لقطة شاشة تعرض الأعضاء المراد إضافتهم كمستخدمين Redis جدد.

  7. يعرض مربع الحوار نافذة منبثقة تعلمك بأن الترقية دائمة وقد تتسبب في إشارة اتصال قصيرة. حدد نعم.

    هام

    بمجرد اكتمال عملية التمكين، يتم إعادة تشغيل العقد في مثيل ذاكرة التخزين المؤقت لتحميل التكوين الجديد. نوصي بإجراء هذه العملية أثناء نافذة الصيانة أو خارج ساعات العمل القصوى. قد تستغرق العملية ما يصل إلى 30 دقيقة.

تكوين عميل Redis لاستخدام معرف Microsoft Entra

نظرا لأن معظم عملاء Azure Cache for Redis يفترضون استخدام كلمة مرور ومفتاح وصول للمصادقة، من المحتمل أن تحتاج إلى تحديث سير عمل العميل لدعم المصادقة باستخدام معرف Microsoft Entra. في هذا القسم، ستتعلم كيفية تكوين تطبيقات العميل للاتصال بذاكرة التخزين المؤقت Azure ل Redis باستخدام رمز Microsoft Entra المميز.

سير عمل عميل Microsoft Entra

  1. قم بتكوين تطبيق العميل للحصول على رمز مميز ل Microsoft Entra للنطاق، https://redis.azure.com/.default أو ، باستخدام مكتبة مصادقة Microsoft (MSAL)acca5fbb-b7e4-4009-81f1-37e38fd66d78/.default .

  2. قم بتحديث منطق اتصال Redis لاستخدام ما يلي User و Password:

    • User = معرف الكائن للهوية المدارة أو كيان الخدمة
    • Password = رمز Microsoft Entra المميز الذي حصلت عليه باستخدام MSAL

  3. تأكد من أن العميل ينفذ أمر Redis AUTH تلقائيا قبل انتهاء صلاحية الرمز المميز ل Microsoft Entra باستخدام:

    • User = معرف الكائن للهوية المدارة أو كيان الخدمة
    • Password = تحديث الرمز المميز ل Microsoft Entra بشكل دوري

دعم مكتبة العميل

المكتبة Microsoft.Azure.StackExchangeRedis هي ملحق يمكنك من StackExchange.Redis استخدام معرف Microsoft Entra لمصادقة الاتصالات من تطبيق عميل Redis إلى ذاكرة التخزين المؤقت Azure ل Redis. يدير الملحق رمز المصادقة المميز، بما في ذلك تحديث الرموز المميزة بشكل استباقي قبل انتهاء صلاحيتها للحفاظ على اتصالات Redis المستمرة على مدار عدة أيام.

يوضح نموذج التعليمات البرمجية هذا كيفية استخدام حزمة Microsoft.Azure.StackExchangeRedis NuGet للاتصال بمثيل Azure Cache for Redis باستخدام معرف Microsoft Entra.

يتضمن الجدول التالي ارتباطات إلى نماذج التعليمات البرمجية، والتي توضح كيفية الاتصال بمثيل Azure Cache for Redis باستخدام رمز Microsoft Entra المميز. يتم تضمين مجموعة واسعة من مكتبات العملاء بلغات متعددة.

مكتبة العميل اللغة ارتباط إلى نموذج التعليمات البرمجية
StackExchange.Redis .NET نموذج التعليمات البرمجية StackExchange.Redis
redis-py Python نموذج التعليمات البرمجية redis-py
Jedis Java نموذج التعليمات البرمجية ل Jedis
Lettuce Java عينة التعليمات البرمجية للخس
Redisson Java عينة التعليمات البرمجية Redisson
ioredis Node.js نموذج التعليمات البرمجية ioredis
node-redis Node.js نموذج التعليمات البرمجية node-redis

أفضل الممارسات لمصادقة Microsoft Entra

  • تكوين الارتباطات الخاصة أو قواعد جدار الحماية لحماية ذاكرة التخزين المؤقت من هجوم رفض الخدمة.

  • تأكد من أن تطبيق العميل يرسل رمزا مميزا جديدا من Microsoft Entra قبل 3 دقائق على الأقل من انتهاء صلاحية الرمز المميز لتجنب تعطيل الاتصال.

  • عند استدعاء الأمر خادم AUTH Redis بشكل دوري، ضع في اعتبارك إضافة تشويش بحيث AUTH تكون الأوامر متداخلة، ولا يتلقى خادم Redis الكثير من AUTH الأوامر في نفس الوقت.

المحتوى ذو الصلة