استخدام معرف Microsoft Entra لمصادقة ذاكرة التخزين المؤقت
توفر ذاكرة التخزين المؤقت Azure ل Redis طريقتين للمصادقة على مثيل ذاكرة التخزين المؤقت: مفاتيح الوصول ومعرف Microsoft Entra
على الرغم من أن مصادقة مفتاح الوصول بسيطة، إلا أنها تأتي مع مجموعة من التحديات حول الأمان وإدارة كلمة المرور. على النقيض من ذلك، في هذه المقالة، ستتعلم كيفية استخدام رمز Microsoft Entra المميز لمصادقة ذاكرة التخزين المؤقت.
يوفر Azure Cache for Redis آلية مصادقة خالية من كلمة المرور من خلال التكامل مع Microsoft Entra ID). يتضمن هذا التكامل أيضا وظيفة التحكم في الوصول المستندة إلى الدور المتوفرة من خلال قوائم التحكم في الوصول (ACLs) المدعومة في مصدر مفتوح Redis.
لاستخدام تكامل ACL، يجب أن يفترض تطبيق العميل الخاص بك هوية كيان Microsoft Entra، مثل كيان الخدمة أو الهوية المدارة، والاتصال بذاكرة التخزين المؤقت الخاصة بك. في هذه المقالة، ستتعلم كيفية استخدام كيان الخدمة أو الهوية المدارة للاتصال بذاكرة التخزين المؤقت، وكيفية منح الاتصال أذونات معرفة مسبقا استنادا إلى البيانات الاصطناعية Microsoft Entra المستخدمة للاتصال.
نطاق التوفر
المستوى | أساسي ،وقياسي، ومتميز | Enterprise وEnterprise Flash |
---|---|---|
التوفر | نعم | لا |
المتطلبات الأساسية والقيود
- يتم دعم المصادقة المستندة إلى معرف Microsoft Entra لاتصالات SSL وTLS 1.2 أو أعلى.
- المصادقة المستندة إلى معرف Microsoft Entra غير مدعومة في Azure Cache لمثيلات Redis التي تعتمد على الخدمات السحابية.
- المصادقة المستندة إلى معرف Microsoft Entra غير مدعومة في مستويات المؤسسة من ذاكرة التخزين المؤقت Azure ل Redis Enterprise.
- تم حظر بعض أوامر Redis. للحصول على قائمة كاملة بالأوامر المحظورة، راجع أوامر Redis غير المدعومة في ذاكرة التخزين المؤقت Azure ل Redis.
هام
بمجرد إنشاء اتصال باستخدام رمز Microsoft Entra المميز، يجب أن تقوم تطبيقات العميل بتحديث رمز Microsoft Entra المميز بشكل دوري قبل انتهاء الصلاحية، وإرسال AUTH
أمر إلى خادم Redis لتجنب تعطيل الاتصالات. لمزيد من المعلومات، راجع تكوين عميل Redis لاستخدام معرف Microsoft Entra.
تمكين مصادقة معرف Microsoft Entra على ذاكرة التخزين المؤقت
في مدخل Microsoft Azure، حدد مثيل Azure Cache for Redis حيث تريد تكوين المصادقة المستندة إلى الرمز المميز ل Microsoft Entra.
حدد Authentication من قائمة Resource.
في جزء العمل، حدد Enable Microsoft Entra Authentication.
حدد Enable Microsoft Entra Authentication، وأدخل اسم مستخدم صالح. يتم تعيين نهج وصول مالك البيانات تلقائيا للمستخدم الذي تدخله بشكل افتراضي عند تحديد حفظ. يمكنك أيضا إدخال هوية مدارة أو كيان خدمة للاتصال بمثيل ذاكرة التخزين المؤقت.
يظهر مربع حوار منبثق يسألك عما إذا كنت تريد تحديث التكوين الخاص بك، ويبلغك أن الأمر يستغرق عدة دقائق. حدد نعم.
هام
بمجرد اكتمال عملية التمكين، يتم إعادة تشغيل العقد في مثيل ذاكرة التخزين المؤقت لتحميل التكوين الجديد. نوصي بإجراء هذه العملية أثناء نافذة الصيانة أو خارج ساعات العمل القصوى. قد تستغرق العملية ما يصل إلى 30 دقيقة.
للحصول على معلومات حول استخدام معرف Microsoft Entra مع Azure CLI، راجع صفحات المراجع للهوية.
استخدام تكوين الوصول إلى البيانات مع ذاكرة التخزين المؤقت
إذا كنت ترغب في استخدام نهج وصول مخصص بدلا من مالك بيانات Redis، فانتقل إلى تكوين الوصول إلى البيانات في قائمة الموارد. لمزيد من المعلومات، راجع تكوين نهج وصول مخصص إلى البيانات لتطبيقك.
في مدخل Microsoft Azure، حدد Azure Cache لمثيل Redis حيث تريد إضافته إلى تكوين الوصول إلى البيانات.
حدد تكوين الوصول إلى البيانات من قائمة الموارد.
حدد إضافة واختر مستخدم Redis جديد.
في علامة التبويب نهج الوصول، حدد أحد النهج المتوفرة في الجدول: مالك البيانات أو مساهم البيانات أو قارئ البيانات. ثم حدد Next:Redis Users.
اختر إما المستخدم أو كيان الخدمة أو الهوية المدارة لتحديد كيفية تعيين الوصول إلى Azure Cache لمثيل Redis. إذا حددت المستخدم أو كيان الخدمة، وتريد إضافة مستخدم، يجب أولا تمكين مصادقة Microsoft Entra.
ثم حدد Select members وحدد Select. ثم حدد Next : Review + Assign.
يعرض مربع الحوار نافذة منبثقة تعلمك بأن الترقية دائمة وقد تتسبب في إشارة اتصال قصيرة. حدد نعم.
هام
بمجرد اكتمال عملية التمكين، يتم إعادة تشغيل العقد في مثيل ذاكرة التخزين المؤقت لتحميل التكوين الجديد. نوصي بإجراء هذه العملية أثناء نافذة الصيانة أو خارج ساعات العمل القصوى. قد تستغرق العملية ما يصل إلى 30 دقيقة.
تكوين عميل Redis لاستخدام معرف Microsoft Entra
نظرا لأن معظم عملاء Azure Cache for Redis يفترضون استخدام كلمة مرور ومفتاح وصول للمصادقة، من المحتمل أن تحتاج إلى تحديث سير عمل العميل لدعم المصادقة باستخدام معرف Microsoft Entra. في هذا القسم، ستتعلم كيفية تكوين تطبيقات العميل للاتصال بذاكرة التخزين المؤقت Azure ل Redis باستخدام رمز Microsoft Entra المميز.
سير عمل عميل Microsoft Entra
قم بتكوين تطبيق العميل للحصول على رمز مميز ل Microsoft Entra للنطاق،
https://redis.azure.com/.default
أو ، باستخدام مكتبة مصادقة Microsoft (MSAL)acca5fbb-b7e4-4009-81f1-37e38fd66d78/.default
.قم بتحديث منطق اتصال Redis لاستخدام ما يلي
User
وPassword
:User
= معرف الكائن للهوية المدارة أو كيان الخدمةPassword
= رمز Microsoft Entra المميز الذي حصلت عليه باستخدام MSAL
تأكد من أن العميل ينفذ أمر Redis AUTH تلقائيا قبل انتهاء صلاحية الرمز المميز ل Microsoft Entra باستخدام:
User
= معرف الكائن للهوية المدارة أو كيان الخدمةPassword
= تحديث الرمز المميز ل Microsoft Entra بشكل دوري
دعم مكتبة العميل
المكتبة Microsoft.Azure.StackExchangeRedis
هي ملحق يمكنك من StackExchange.Redis
استخدام معرف Microsoft Entra لمصادقة الاتصالات من تطبيق عميل Redis إلى ذاكرة التخزين المؤقت Azure ل Redis. يدير الملحق رمز المصادقة المميز، بما في ذلك تحديث الرموز المميزة بشكل استباقي قبل انتهاء صلاحيتها للحفاظ على اتصالات Redis المستمرة على مدار عدة أيام.
يوضح نموذج التعليمات البرمجية هذا كيفية استخدام حزمة Microsoft.Azure.StackExchangeRedis
NuGet للاتصال بمثيل Azure Cache for Redis باستخدام معرف Microsoft Entra.
يتضمن الجدول التالي ارتباطات إلى نماذج التعليمات البرمجية، والتي توضح كيفية الاتصال بمثيل Azure Cache for Redis باستخدام رمز Microsoft Entra المميز. يتم تضمين مجموعة واسعة من مكتبات العملاء بلغات متعددة.
مكتبة العميل | اللغة | ارتباط إلى نموذج التعليمات البرمجية |
---|---|---|
StackExchange.Redis | .NET | نموذج التعليمات البرمجية StackExchange.Redis |
redis-py | Python | نموذج التعليمات البرمجية redis-py |
Jedis | Java | نموذج التعليمات البرمجية ل Jedis |
Lettuce | Java | عينة التعليمات البرمجية للخس |
Redisson | Java | عينة التعليمات البرمجية Redisson |
ioredis | Node.js | نموذج التعليمات البرمجية ioredis |
node-redis | Node.js | نموذج التعليمات البرمجية node-redis |
أفضل الممارسات لمصادقة Microsoft Entra
تكوين الارتباطات الخاصة أو قواعد جدار الحماية لحماية ذاكرة التخزين المؤقت من هجوم رفض الخدمة.
تأكد من أن تطبيق العميل يرسل رمزا مميزا جديدا من Microsoft Entra قبل 3 دقائق على الأقل من انتهاء صلاحية الرمز المميز لتجنب تعطيل الاتصال.
عند استدعاء الأمر خادم
AUTH
Redis بشكل دوري، ضع في اعتبارك إضافة تشويش بحيثAUTH
تكون الأوامر متداخلة، ولا يتلقى خادم Redis الكثير منAUTH
الأوامر في نفس الوقت.
المحتوى ذو الصلة
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ