مشاركة عبر

استخدام Microsoft Entra لمصادقة ذاكرة التخزين المؤقت

يوفر Azure Cache for Redis طريقتين للمصادقة على مثيل ذاكرة التخزين المؤقت: مفاتيح الوصول وMicrosoft Entra.

على الرغم من أن مصادقة مفتاح الوصول بسيطة، إلا أنها تأتي مع مجموعة من التحديات حول الأمان وإدارة كلمة المرور. على النقيض من ذلك، في هذه المقالة، ستتعلم كيفية استخدام رمز Microsoft Entra المميز لمصادقة ذاكرة التخزين المؤقت.

يوفر Azure Cache for Redis آلية مصادقة خالية من كلمة المرور من خلال التكامل مع Microsoft Entra. يتضمن هذا التكامل أيضا وظيفة التحكم في الوصول المستندة إلى الدور المتوفرة من خلال قوائم التحكم في الوصول (ACLs) المدعومة في Redis مفتوحة المصدر.

لاستخدام تكامل ACL، يجب أن يفترض تطبيق العميل الخاص بك هوية كيان Microsoft Entra، مثل كيان الخدمة أو الهوية المدارة، والاتصال بذاكرة التخزين المؤقت الخاصة بك. في هذه المقالة، ستتعلم كيفية استخدام كيان الخدمة أو الهوية المدارة للاتصال بذاكرة التخزين المؤقت. يمكنك أيضا معرفة كيفية منح الاتصال الخاص بك أذونات معرفة مسبقا استنادا إلى البيانات الاصطناعية Microsoft Entra المستخدمة للاتصال.

نطاق التوفر

المستوى أساسي ،وقياسي، ومتميز Enterprise وEnterprise Flash
التوافر ‏‏نعم‬ لا

المتطلبات الأساسية والقيود

هام

بعد تأسيس اتصال باستخدام رمز Microsoft Entra المميز، يجب أن تقوم تطبيقات العميل بتحديث الرمز المميز ل Microsoft Entra بشكل دوري قبل انتهاء الصلاحية. ثم يجب على التطبيقات إرسال AUTH أمر إلى خادم Redis لتجنب تعطيل الاتصالات. لمزيد من المعلومات، راجع تكوين عميل Redis لاستخدام Microsoft Entra.

تمكين مصادقة Microsoft Entra على ذاكرة التخزين المؤقت

  1. في مدخل Microsoft Azure، حدد Azure Cache لمثيل Redis حيث تريد تكوين المصادقة المستندة إلى الرمز المميز ل Microsoft Entra.

  2. في قائمة Resource ، حدد Authentication.

  3. في جزء العمل، حدد علامة التبويب Microsoft Entra Authentication .

  4. حدد Enable Microsoft Entra Authentication وأدخل اسم مستخدم صالح. يتم تعيين نهج وصول مالك البيانات تلقائيا للمستخدم الذي تدخله بشكل افتراضي عند تحديد حفظ. يمكنك أيضا إدخال هوية مدارة أو كيان خدمة للاتصال بمثيل ذاكرة التخزين المؤقت.

    لقطة شاشة تعرض المصادقة المحددة في قائمة الموارد وخانة الاختيار تمكين مصادقة Microsoft Entra.

  5. يسألك مربع الحوار المنبثق عما إذا كنت تريد تحديث التكوين الخاص بك ويعلمك أن الأمر يستغرق عدة دقائق. حدد نعم.

    هام

    بعد انتهاء عملية التمكين، يتم إعادة تشغيل العقد في مثيل ذاكرة التخزين المؤقت لتحميل التكوين الجديد. نوصي بإجراء هذه العملية أثناء نافذة الصيانة أو خارج ساعات العمل القصوى. قد تستغرق العملية ما يصل إلى 30 دقيقة.

للحصول على معلومات حول كيفية استخدام Microsoft Entra مع Azure CLI، راجع الصفحات المرجعية للهوية.

تعطيل مصادقة مفتاح الوصول على ذاكرة التخزين المؤقت

استخدام Microsoft Entra هو الطريقة الآمنة لتوصيل ذاكرة التخزين المؤقت. نوصي باستخدام Microsoft Entra وتعطيل مفاتيح الوصول.

عند تعطيل مصادقة مفتاح الوصول لذاكرة التخزين المؤقت، يتم إنهاء جميع اتصالات العميل الموجودة، سواء كانت تستخدم مفاتيح الوصول أو مصادقة Microsoft Entra. اتبع أفضل ممارسات عميل Redis الموصى بها لتنفيذ آليات إعادة المحاولة المناسبة لإعادة توصيل الاتصالات المستندة إلى Microsoft Entra، إن وجدت.

قبل تعطيل مفاتيح الوصول

  • تأكد من تمكين مصادقة Microsoft Entra وتكوين مستخدم Redis واحد على الأقل.
  • تأكد من تبديل جميع التطبيقات المتصلة بمثيل ذاكرة التخزين المؤقت إلى استخدام مصادقة Microsoft Entra.
  • تأكد من أن المقاييس Connected Clients و Connected Clients Using Microsoft Entra Token لها نفس القيم. إذا لم تكن قيم هذين القياسين متشابهة، وهذا يعني أنه لا تزال هناك بعض الاتصالات التي تم إنشاؤها باستخدام مفاتيح الاختزال وليس رمز Microsoft Entra المميز.
  • ضع في اعتبارك تعطيل الوصول أثناء نافذة الصيانة المجدولة لمثيل ذاكرة التخزين المؤقت.
  • لا يتوفر تعطيل مفاتيح الوصول إلا لذاكرة التخزين المؤقت الأساسية والقياسية والمتميزة.

بالنسبة لذاكرة التخزين المؤقت المنسوخة جغرافيا، يجب عليك:

  1. إلغاء ربط ذاكرات التخزين المؤقت.
  2. تعطيل مفاتيح الوصول.
  3. أعد ربط ذاكرات التخزين المؤقت.

إذا كان لديك ذاكرة تخزين مؤقت حيث استخدمت مفاتيح الوصول، وتريد تعطيل مفاتيح الوصول، فاتبع هذا الإجراء:

  1. في مدخل Microsoft Azure، حدد مثيل Azure Cache for Redis حيث تريد تعطيل مفاتيح الوصول.

  2. في قائمة Resource ، حدد Authentication.

  3. في جزء العمل، حدد Access keys.

  4. حدد تعطيل مصادقة مفاتيح الوصول. ثم حدد حفظ.

    لقطة شاشة تعرض مفاتيح الوصول في جزء العمل مع خانة الاختيار تعطيل مصادقة مفاتيح الوصول.

  5. تأكد من رغبتك في تحديث التكوين الخاص بك عن طريق تحديد نعم.

هام

عند تغيير إعداد تعطيل مصادقة مفاتيح الوصول لذاكرة التخزين المؤقت، يتم إنهاء جميع اتصالات العميل الموجودة، باستخدام مفاتيح الاخت الوصول أو Microsoft Entra. اتبع أفضل الممارسات لتنفيذ آليات إعادة المحاولة المناسبة لإعادة توصيل الاتصالات المستندة إلى Microsoft Entra. ولمزيد من المعلومات، راجع مرونة الاتصال.

استخدام تكوين الوصول إلى البيانات مع ذاكرة التخزين المؤقت

إذا كنت تريد استخدام نهج وصول مخصص بدلا من Redis Data Owner، فانتقل إلى تكوين الوصول إلى البيانات في قائمة الموارد. لمزيد من المعلومات، راجع تكوين نهج وصول مخصص إلى البيانات لتطبيقك.

  1. في مدخل Microsoft Azure، حدد مثيل Azure Cache for Redis حيث تريد إضافته إلى تكوين الوصول إلى البيانات.

  2. في قائمة Resource ، حدد Data Access Configuration.

  3. حدد إضافة ثم حدد مستخدم Redis جديد.

  4. في علامة التبويب نهج الوصول، حدد أحد النهج المتوفرة في الجدول: مالك البيانات أو مساهم البيانات أو قارئ البيانات. ثم حدد Next: Redis Users.

    لقطة شاشة تعرض نهج الوصول المتوفرة.

  5. اختر إما المستخدم أو كيان الخدمة أو الهوية المدارة لتحديد كيفية تعيين الوصول إلى Azure Cache لمثيل Redis. إذا قمت بتحديد المستخدم أو كيان الخدمة وتريد إضافة مستخدم، يجب أولا تمكين مصادقة Microsoft Entra.

  6. ثم اختر تحديد أعضاء واختر تحديد. ثم حدد Next: Review + assign.

    لقطة شاشة تعرض الأعضاء لإضافتها كمستخدمين جدد ل Redis.

  7. يقوم مربع الحوار المنبثق بإعلامك بأن الترقية دائمة وقد تتسبب في حدوث لمحة قصيرة عن الاتصال. حدد نعم.

    هام

    بعد انتهاء عملية التمكين، يتم إعادة تشغيل العقد في مثيل ذاكرة التخزين المؤقت لتحميل التكوين الجديد. نوصي بإجراء هذه العملية أثناء نافذة الصيانة أو خارج ساعات العمل القصوى. قد تستغرق العملية ما يصل إلى 30 دقيقة.

تكوين عميل Redis لاستخدام Microsoft Entra

نظرا لأن معظم عملاء Azure Cache for Redis يفترضون استخدام كلمة مرور ومفتاح وصول للمصادقة، من المحتمل أن تحتاج إلى تحديث سير عمل العميل لدعم المصادقة باستخدام Microsoft Entra. في هذا القسم، ستتعلم كيفية تكوين تطبيقات العميل للاتصال بذاكرة التخزين المؤقت Azure ل Redis باستخدام رمز Microsoft Entra المميز.

سير عمل عميل Microsoft Entra

  1. قم بتكوين تطبيق العميل للحصول على رمز مميز ل Microsoft Entra للنطاق، https://redis.azure.com/.default أو ، باستخدام مكتبة مصادقة Microsoft (MSAL)acca5fbb-b7e4-4009-81f1-37e38fd66d78/.default.

  2. قم بتحديث منطق اتصال Redis لاستخدام ما يلي User و Password:

    • User = معرف الكائن للهوية المدارة أو كيان الخدمة
    • Password = رمز Microsoft Entra المميز الذي حصلت عليه باستخدام MSAL

  3. تأكد من أن العميل ينفذ أمر Redis AUTH تلقائيا قبل انتهاء صلاحية الرمز المميز ل Microsoft Entra باستخدام:

    • User = معرف الكائن للهوية المدارة أو كيان الخدمة
    • Password = تحديث الرمز المميز ل Microsoft Entra بشكل دوري

دعم مكتبة العميل

المكتبة Microsoft.Azure.StackExchangeRedis هي ملحق يمكنك من StackExchange.Redis استخدام Microsoft Entra لمصادقة الاتصالات من تطبيق عميل Redis إلى ذاكرة التخزين المؤقت Azure ل Redis. يدير الملحق رمز المصادقة المميز، بما في ذلك تحديث الرموز المميزة بشكل استباقي قبل انتهاء صلاحيتها للحفاظ على اتصالات Redis المستمرة على مدار عدة أيام.

يوضح نموذج التعليمات البرمجية هذا كيفية استخدام حزمة Microsoft.Azure.StackExchangeRedis NuGet للاتصال بمثيل Azure Cache for Redis باستخدام Microsoft Entra.

يتضمن الجدول التالي ارتباطات إلى نماذج التعليمات البرمجية. وهي توضح كيفية الاتصال بمثيل Azure Cache for Redis باستخدام رمز Microsoft Entra المميز. يتم تضمين مكتبات العملاء المختلفة بلغات متعددة.

مكتبة العميل اللغة ارتباط إلى نموذج التعليمات البرمجية
StackExchange.Redis .NET نموذج التعليمات البرمجية StackExchange.Redis
go-redis انتقال نموذج التعليمات البرمجية go-redis
redis-py Python نموذج التعليمات البرمجية redis-py
Jedis Java نموذج التعليمات البرمجية ل Jedis
Lettuce Java عينة التعليمات البرمجية للخس
Redisson Java عينة التعليمات البرمجية Redisson
ioredis Node.js نموذج التعليمات البرمجية ioredis
node-redis Node.js نموذج التعليمات البرمجية node-redis

أفضل الممارسات لمصادقة Microsoft Entra

  • تكوين الارتباطات الخاصة أو قواعد جدار الحماية لحماية ذاكرة التخزين المؤقت من هجوم رفض الخدمة.
  • تأكد من أن تطبيق العميل يرسل رمزا مميزا جديدا من Microsoft Entra قبل ثلاث دقائق على الأقل من انتهاء صلاحية الرمز المميز لتجنب تعطيل الاتصال.
  • عند استدعاء الأمر خادم AUTH Redis بشكل دوري، ضع في اعتبارك إضافة تأخير عشوائي بحيث AUTH تكون الأوامر متداخلة. بهذه الطريقة، لا يتلقى خادم Redis عددا كبيرا جدا من AUTH الأوامر في نفس الوقت.

المحتوى ذو الصلة