Zabezpečení Notification Hubs
Přehled
Toto téma popisuje model zabezpečení služby Azure Notification Hubs.
Zabezpečení sdíleného přístupového podpisu
Notification Hubs implementuje schéma zabezpečení na úrovni entity označované jako sdílený přístupový podpis (SAS). Každé pravidlo obsahuje název, hodnotu klíče (sdílený tajný klíč) a sadu práv, jak je vysvětleno dále v části Deklarace zabezpečení.
Při vytváření centra se automaticky vytvoří dvě pravidla: jedno s právy naslouchacími právy (které klientská aplikace používá) a jedno se všemi právy (které back-end aplikace používá):
- DefaultListenSharedAccessSignature: Uděluje pouze oprávnění k naslouchání .
- DefaultFullSharedAccessSignature: uděluje oprávnění Listen, Manage a Send . Tyto zásady se použijí jenom v back-endu vaší aplikace. Nepoužívejte ji v klientských aplikacích; použijte zásadu pouze s přístupem k naslouchání . Pokud chcete vytvořit novou vlastní zásadu přístupu s novým tokenem SAS, podívejte se na tokeny SAS pro zásady přístupu dále v tomto článku.
Při správě registrace z klientských aplikací platí, že pokud informace odeslané prostřednictvím oznámení nejsou citlivé (například aktualizace počasí), běžným způsobem, jak získat přístup k centru oznámení, je dát klíčové hodnotě pravidla přístup jen pro naslouchání klientské aplikaci a poskytnout klíčové hodnotě pravidla úplný přístup k back-endu aplikace.
Aplikace by neměly vkládat hodnotu klíče do klientských aplikací pro Windows Store; Místo toho načtěte klientskou aplikaci z back-endu aplikace při spuštění.
Klíč s přístupem k naslouchacímu procesu umožňuje klientské aplikaci zaregistrovat jakoukoli značku. Pokud vaše aplikace musí omezit registrace na konkrétní značky na konkrétní klienty (například když značky představují ID uživatelů), musí back-end vaší aplikace provést registrace. Další informace naleznete v tématu Správa registrace. Upozorňujeme, že klientská aplikace tímto způsobem nebude mít přímý přístup ke službě Notification Hubs.
Deklarace identity zabezpečení
Podobně jako u jiných entit jsou operace centra oznámení povolené pro tři deklarace identity zabezpečení: naslouchání, odesílání a správa.
| Deklarace identity | Popis | Povolené operace |
|---|---|---|
| Naslouchat | Vytvoření, aktualizace, čtení a odstranění jednotlivých registrací | Vytvoření nebo aktualizace registrace Čtení registrace Čtení všech registrací popisovače Odstranění registrace |
| Odeslat | Odesílání zpráv do centra oznámení | Odeslat zprávu |
| Spravovat | CRUDs v Notification Hubs (včetně aktualizace přihlašovacích údajů PNS a klíčů zabezpečení) a čtení registrací na základě značek | Vytvoření, aktualizace, čtení nebo odstranění center Čtení registrací podle značky |
Notification Hubs přijímá tokeny SAS vygenerované pomocí sdílených klíčů nakonfigurovaných přímo v centru.
Oznámení není možné odeslat více než jednomu oboru názvů. Obory názvů jsou logické kontejnery pro Notification Hubs a nejsou zapojeny do odesílání oznámení.
Pro operace na úrovni oboru názvů použijte zásady přístupu na úrovni oboru názvů (přihlašovací údaje). Například: výpis rozbočovačů, vytváření nebo odstraňování center atd. Jenom zásady přístupu na úrovni centra umožňují odesílat oznámení.
Tokeny SAS pro zásady přístupu
Pokud chcete vytvořit novou deklaraci identity zabezpečení nebo zobrazit existující klíče SAS, postupujte takto:
- Přihlaste se k portálu Azure.
- Vyberte Všechny prostředky.
- Vyberte název centra oznámení, pro které chcete vytvořit deklaraci identity, nebo zobrazte klíč SAS.
- V nabídce vlevo vyberte Zásady přístupu.
- Výběrem možnosti Nová zásada vytvořte novou deklaraci identity zabezpečení. Pojmenujte zásadu a vyberte oprávnění, která chcete udělit. Pak vyberte OK.
- Úplný připojovací řetězec (včetně nového klíče SAS) se zobrazí v okně Zásady přístupu. Tento řetězec můžete zkopírovat do schránky pro pozdější použití.
Pokud chcete extrahovat klíč SAS z konkrétní zásady, vyberte tlačítko Kopírovat vedle zásady obsahující požadovaný klíč SAS. Tuto hodnotu vložte do dočasného umístění a zkopírujte část klíče SAS připojovací řetězec. Tento příklad používá obor názvů Notification Hubs s názvem mytestnamespace1 a zásadu s názvem policy2. Klíč SAS je hodnota blízko konce řetězce určeného parametrem SharedAccessKey:
Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro