Použití Microsoft Entra pro ověřování mezipaměti
Azure Cache for Redis nabízí dvě metody ověřování v instanci mezipaměti: přístupové klíče a Microsoft Entra.
I když je ověřování přístupového klíče jednoduché, přináší to řadu problémů souvisejících se správou zabezpečení a hesel. Naproti tomu v tomto článku se dozvíte, jak používat token Microsoft Entra pro ověřování mezipaměti.
Azure Cache for Redis nabízí mechanismus ověřování bez hesla díky integraci s Microsoft Entra. Tato integrace zahrnuje také funkce řízení přístupu na základě role poskytované prostřednictvím seznamů řízení přístupu (ACL) podporovaných v opensourcových redisech.
Aby bylo možné použít integraci seznamu ACL, musí klientská aplikace předpokládat identitu entity Microsoft Entra, jako je instanční objekt nebo spravovaná identita, a připojit se k mezipaměti. V tomto článku se dozvíte, jak se pomocí instančního objektu nebo spravované identity připojit k mezipaměti. Dozvíte se také, jak udělit předdefinovaná oprávnění připojení na základě artefaktu Microsoft Entra, který se používá pro připojení.
Rozsah dostupnosti
Úroveň | Basic, Standard a Premium | Enterprise, Enterprise Flash |
---|---|---|
Dostupnost | Yes | No |
Předpoklady a omezení
- Ověřování Microsoft Entra je podporováno pro připojení SSL a TLS 1.2 nebo vyšší.
- Ověřování Microsoft Entra se v instancích Azure Cache for Redis, které závisí na Azure Cloud Services, nepodporuje.
- Ověřování Microsoft Entra není podporováno na úrovních Enterprise služby Azure Cache for Redis Enterprise.
- Některé příkazy Redis jsou blokované. Úplný seznam blokovaných příkazů najdete v tématu Příkazy Redis, které azure Cache for Redis nepodporuje.
Důležité
Po navázání připojení pomocí tokenu Microsoft Entra musí klientské aplikace před vypršením platnosti pravidelně aktualizovat token Microsoft Entra. Aplikace pak musí odeslat AUTH
příkaz na server Redis, aby nedošlo k narušení připojení. Další informace naleznete v tématu Konfigurace klienta Redis pro použití Microsoft Entra.
Povolení ověřování Microsoft Entra v mezipaměti
Na webu Azure Portal vyberte instanci Azure Cache for Redis, ve které chcete nakonfigurovat ověřování založené na tokenech Microsoft Entra.
V nabídce Prostředek vyberte Ověřování.
V pracovním podokně vyberte kartu Ověřování Microsoft Entra.
Vyberte Povolit ověřování Microsoft Entra a zadejte jméno platného uživatele. Uživatel, který zadáte, se automaticky přiřadí zásadám přístupu vlastníka dat ve výchozím nastavení, když vyberete Uložit. Můžete také zadat spravovanou identitu nebo instanční objekt pro připojení k instanci mezipaměti.
Automaticky otevírané dialogové okno se zeptá, jestli chcete aktualizovat konfiguraci, a informuje vás, že to trvá několik minut. Vyberte Ano.
Důležité
Po dokončení operace povolení se uzly v instanci mezipaměti restartují, aby se načetla nová konfigurace. Tuto operaci doporučujeme provést během časového období údržby nebo mimo špičku pracovní doby. Operace může trvat až 30 minut.
Informace o tom, jak používat Microsoft Entra s Azure CLI, najdete na referenčních stránkách pro identitu.
Zakázání ověřování přístupového klíče v mezipaměti
Použití Microsoft Entra je bezpečný způsob, jak připojit mezipaměť. Doporučujeme používat Microsoft Entra a zakázat přístupové klíče.
Když zakážete ověřování pomocí přístupového klíče pro mezipaměť, ukončí se všechna stávající klientská připojení bez ohledu na to, jestli používají přístupové klíče nebo ověřování Microsoft Entra. Pokud existuje, postupujte podle doporučených osvědčených postupů klienta Redis a implementujte správné mechanismy opakování pro opětovné připojení založené na Microsoft Entra.
Než zakážete přístupové klíče:
Ujistěte se, že je povolené ověřování Microsoft Entra a máte nakonfigurovaného aspoň jednoho uživatele Redis.
Zajistěte, aby se všechny aplikace připojující k instanci mezipaměti přepnuly na použití ověřování Microsoft Entra.
Ujistěte se, že metriky Připojené klienty a připojené klienty používající token Microsoft Entra mají stejné hodnoty. Pokud hodnoty pro tyto dvě metriky nejsou stejné, znamená to, že stále existují nějaká připojení vytvořená pomocí přístupových klíčů, a ne Entra Token.
Zvažte zakázání přístupu během časového období plánované údržby instance mezipaměti.
Zakázání přístupových klíčů je k dispozici pouze pro mezipaměti úrovně Basic, Standard a Premium.
U geograficky replikovaných mezipamětí musíte:
- Zrušte propojení mezipamětí.
- Zakázání přístupových klíčů
- Znovu propojte mezipaměti.
Pokud máte mezipaměť, ve které se používají přístupové klíče a chcete přístupové klíče zakázat, postupujte takto:
Na webu Azure Portal vyberte instanci Azure Cache for Redis, ve které chcete zakázat přístupové klíče.
V nabídce Prostředek vyberte Ověřování.
V pracovním podokně vyberte Přístupové klávesy.
Vyberte Zakázat ověřování přístupových klíčů. Potom vyberte Uložit.
Potvrďte, že chcete aktualizovat konfiguraci výběrem možnosti Ano.
Důležité
Když se pro mezipaměť změní nastavení Zakázat ověřování přístupových klíčů, ukončí se všechna stávající klientská připojení pomocí přístupových klíčů nebo Microsoft Entra. Postupujte podle osvědčených postupů a implementujte správné mechanismy opakování pro opětovné připojení na základě Microsoft Entra. Další informace najdete v tématu Odolnost připojení.
Použití konfigurace přístupu k datům s mezipamětí
Pokud chcete místo vlastníka dat Redis použít vlastní zásady přístupu, přejděte v nabídce Prostředek do konfigurace přístupu k datům. Další informace najdete v tématu Konfigurace vlastních zásad přístupu k datům pro vaši aplikaci.
Na webu Azure Portal vyberte instanci Azure Cache for Redis, do které chcete přidat konfiguraci přístupu k datům.
V nabídce Prostředek vyberte Konfigurace přístupu k datům.
Vyberte Přidat a pak vyberte Nový uživatel Redis.
Na kartě Zásady přístupu vyberte jednu z dostupných zásad v tabulce: Vlastník dat, Přispěvatel dat nebo Čtenář dat. Pak vyberte Další: Uživatelé Redis.
Zvolte uživatele nebo instanční objekt nebo spravovanou identitu a určete, jak přiřadit přístup k instanci Azure Cache for Redis. Pokud vyberete uživatele nebo instanční objekt a chcete přidat uživatele, musíte nejprve povolit ověřování Microsoft Entra.
Pak zvolte Vybrat členy a zvolte Vybrat. Pak vyberte Další: Zkontrolovat a přiřadit.
Automaticky otevírané dialogové okno vás upozorní, že upgrade je trvalý a může způsobit krátkou tečku připojení. Vyberte Ano.
Důležité
Po dokončení operace povolení se uzly v instanci mezipaměti restartují, aby se načetla nová konfigurace. Tuto operaci doporučujeme provést během časového období údržby nebo mimo špičku pracovní doby. Operace může trvat až 30 minut.
Konfigurace klienta Redis tak, aby používal Microsoft Entra
Vzhledem k tomu, že většina klientů Azure Cache for Redis předpokládá, že k ověřování se používá heslo a přístupový klíč, budete pravděpodobně muset aktualizovat pracovní postup klienta tak, aby podporoval ověřování pomocí Microsoft Entra. V této části se dozvíte, jak nakonfigurovat klientské aplikace pro připojení ke službě Azure Cache for Redis pomocí tokenu Microsoft Entra.
Pracovní postup klienta Microsoft Entra
Nakonfigurujte klientskou aplikaci tak, aby získala token Microsoft Entra pro obor nebo
https://redis.azure.com/.default
acca5fbb-b7e4-4009-81f1-37e38fd66d78/.default
pomocí knihovny MSAL (Microsoft Authentication Library).Aktualizujte logiku připojení Redis tak, aby používala následující
User
:Password
User
= ID objektu vaší spravované identity nebo instančního objektuPassword
= Token Microsoft Entra, který jste získali pomocí knihovny MSAL
Před vypršením platnosti tokenu Microsoft Entra pomocí příkazu Redis AUTH se ujistěte, že váš klient automaticky spustí příkaz Redis AUTH:
User
= ID objektu vaší spravované identity nebo instančního objektuPassword
= Pravidelně aktualizován token Microsoft Entra
Podpora klientské knihovny
Knihovna Microsoft.Azure.StackExchangeRedis
je rozšíření StackExchange.Redis
, které umožňuje používat Microsoft Entra k ověřování připojení z klientské aplikace Redis ke službě Azure Cache for Redis. Rozšíření spravuje ověřovací token, včetně proaktivně obnovovacích tokenů před vypršením jejich platnosti, aby se zachovala trvalá připojení Redis za několik dnů.
Tento ukázkový kód ukazuje, jak se pomocí Microsoft.Azure.StackExchangeRedis
balíčku NuGet připojit k instanci Azure Cache for Redis pomocí Microsoft Entra.
Následující tabulka obsahuje odkazy na ukázky kódu. Ukazují, jak se připojit k instanci Azure Cache for Redis pomocí tokenu Microsoft Entra. Různé klientské knihovny jsou součástí více jazyků.
Klientská knihovna | Jazyk | Odkaz na ukázkový kód |
---|---|---|
StackExchange.Redis | .NET | Ukázka kódu StackExchange.Redis |
go-redis | Go | Ukázka kódu go-redis |
redis-py | Python | Ukázka kódu redis-py |
Jedis | Java | Ukázka kódu Jedis |
Lettuce | Java | Ukázka kódu salátu |
Redisson | Java | Ukázka kódu Redisson |
ioredis | Node.js | Ukázka kódu ioredis |
node-redis | Node.js | Ukázka kódu node-redis |
Osvědčené postupy pro ověřování Microsoft Entra
- Nakonfigurujte privátní propojení nebo pravidla brány firewall pro ochranu vaší mezipaměti před útokem na dostupnost služby.
- Ujistěte se, že klientská aplikace odešle nový token Microsoft Entra alespoň tři minuty před vypršením platnosti tokenu, aby nedošlo k přerušení připojení.
- Při pravidelném volání příkazu serveru
AUTH
Redis zvažte přidání náhodného zpoždění, abyAUTH
se příkazy zasekly. Server Redis tímto způsobem nepřijímá příliš mnohoAUTH
příkazů najednou.