مصادقة وتخويل Service Bus

  • مقالة

هناك طريقتان لمصادقة الوصول إلى موارد ناقل خدمة Azure وتخويله:

  • Microsoft Entra ID
  • توقيعات الوصول المشترك (SAS).

توفر هذه المقالة تفاصيل حول استخدام هذين النوعين من آليات الأمان.

Microsoft Entra ID

يوفر تكامل Microsoft Entra مع ناقل خدمة Microsoft التحكم في الوصول استنادا إلى الدور (RBAC) إلى موارد ناقل خدمة Microsoft Azure. يمكنك استخدام Azure RBAC لمنح أذونات لمدير أمان، والذي يمكن أن يكون مستخدما أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة. يقوم Microsoft Entra بمصادقة أساس الأمان وإرجاع رمز OAuth 2.0 المميز. يمكن استخدام هذا الرمز المميز لتخويل طلب للوصول إلى مورد ناقل خدمة Microsoft Azure (قائمة الانتظار والموضوع وما إلى ذلك).

لمزيد من المعلومات حول المصادقة باستخدام معرف Microsoft Entra، راجع المقالات التالية:

إشعار

تدعم واجهة برمجة تطبيقات REST لناقل خدمة Microsoft Azure مصادقة OAuth باستخدام معرف Microsoft Entra.

هام

يوفر تخويل المستخدمين أو التطبيقات باستخدام رمز OAuth 2.0 المميز الذي تم إرجاعه بواسطة معرف Microsoft Entra أمانا فائقا وسهولة استخدام عبر توقيعات الوصول المشترك (SAS). باستخدام معرف Microsoft Entra، ليست هناك حاجة لتخزين الرموز المميزة في التعليمات البرمجية الخاصة بك والمخاطرة بالثغرات الأمنية المحتملة. نوصي باستخدام معرف Microsoft Entra مع تطبيقات ناقل خدمة Azure عندما يكون ذلك ممكنا.

يمكنك تعطيل مصادقة المفتاح المحلي أو SAS لمساحة اسم ناقل خدمة Microsoft Azure والسماح بمصادقة Microsoft Entra فقط. للحصول على إرشادات خطوة بخطوة، راجع "Disable local authentication".

توقيع الوصول المشترك

تمكنك مصادقة SAS من منح مستخدم حق الوصول إلى موارد ناقل خدمة Microsoft Azure مع حقوق معينة. تتضمن مصادقة SAS في ناقل خدمة Microsoft Azure تكوين مفتاح تشفير مع الحقوق المقترنة على مورد ناقل الخدمة. يمكن للعملاء بعد ذلك الوصول إلى هذا المورد عن طريق تقديم رمز SAS المميز، الذي يتكون من المورد URI التي يتم الوصول إليها و انتهاء الصلاحية الموقعة مع المفتاح المُكون.

يمكنك تكوين مفاتيح SAS على مساحة اسم ناقل خدمة Microsoft Azure. ينطبق المفتاح على كافة كيانات المراسلة داخل مساحة الاسم هذه. يمكنك أيضا تكوين المفاتيح في قوائم انتظار ناقل خدمة Microsoft Azure وموضوعاته. لاستخدام SAS، يمكنك تكوين قاعدة تخويل وصول مشتركة على مساحة الاسم أو قائمة الانتظار أو الموضوع. تتكون هذه القاعدة من العناصر التالية:

  • KeyName: يُعرف القاعدة.
  • PrimaryKey: مفتاح تشفير يستخدم لتوقيع/التحقق من صحة رموز SAS المميزة.
  • SecondaryKey: مفتاح تشفير يستخدم لتوقيع/التحقق من صحة رموز SAS المميزة.
  • الحقوق: تمثل مجموعة حقوق الاستماعأو الإرسالأو الإدارة الممنوحة.

يمكن أن تمنح قواعد التخويل التي تم تكوينها على مستوى مساحة الاسم حق الوصول إلى كافة الكيانات في مساحة أسماء للعملاء الذين لديهم رموز مميزة باستخدام المفتاح المطابق. يمكنك تكوين ما يصل إلى 12 من قواعد التخويل على مساحة اسم ناقل خدمة Microsoft Azure أو قائمة انتظار أو موضوع. بشكلٍ افتراضي، يتم تكوين قاعدة تخويل وصول مشتركة مع جميع الحقوق لكل مساحة اسم عند توفيرها أولا.

للوصول إلى كيان، يتطلب العميل رمز SAS المميز الذي تم إنشاؤه باستخدام قاعدة تخويل وصول مشتركة معينة. يتم إنشاء الرمز المميز SAS باستخدام HMAC-SHA256 لسلسلة مورد تتكون من المورد URI الذي يتم المطالبة الوصول إليه، و انتهاء صلاحية مع مفتاح التشفير المقترن بقاعدة التخويل.

تدعم إصدارات Azure .NET SDK 2.0 والإصدارات الأحدث مصادقة SAS لناقل خدمة Microsoft Azure. تدعم SAS لقاعدة تخويل الوصول المشترك. تدعم كافة واجهات برمجة التطبيقات التي تقبل سلسلة اتصال كمعلمة سلاسل اتصال SAS.

الخطوات التالية

لمزيد من المعلومات حول المصادقة باستخدام معرف Microsoft Entra، راجع المقالات التالية:

لمزيد من المعلومات حول المصادقة باستخدام SAS، راجع المقالات التالية: