Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Přehled
Toto téma popisuje model zabezpečení služby Azure Notification Hubs.
Zabezpečení sdíleného přístupového podpisu
Notification Hubs implementuje schéma zabezpečení na úrovni entity označované jako sdílený přístupový podpis (SAS). Každé pravidlo obsahuje název, hodnotu klíče (sdílený tajný klíč) a sadu práv, jak je vysvětleno dále v části Deklarace zabezpečení.
Při vytváření centra se automaticky vytvoří dvě pravidla: jedno s právy k poslouchání (které klientská aplikace používá) a jedno se všemi právy (které zázemí aplikace používá):
- DefaultListenSharedAccessSignature: Uděluje pouze oprávnění k naslouchání .
- DefaultFullSharedAccessSignature: uděluje oprávnění Listen, Manage a Send . Tyto zásady se použijí jenom v back-endu vaší aplikace. Nepoužívejte ji v klientských aplikacích; použijte zásadu pouze s přístupem k naslouchání . Pokud chcete vytvořit novou vlastní zásadu přístupu s novým tokenem SAS, podívejte se na tokeny SAS pro zásady přístupu dále v tomto článku.
Při správě registrace z klientských aplikací platí, že pokud informace odeslané prostřednictvím oznámení nejsou citlivé (například aktualizace počasí), běžným způsobem, jak získat přístup k centru oznámení, je dát klíčové hodnotě pravidla přístup jen pro naslouchání klientské aplikaci a poskytnout klíčové hodnotě pravidla úplný přístup k back-endu aplikace.
Aplikace by neměly vkládat hodnotu klíče do klientských aplikací pro Windows Store; místo toho by měla klientská aplikace při spuštění získat tuto hodnotu z back-endu aplikace.
Klíč s poslouchacím přístupem umožňuje klientské aplikaci registrovat jakoukoli značku. Pokud vaše aplikace musí omezit registrace na konkrétní značky na konkrétní klienty (například když značky představují ID uživatelů), musí back-end vaší aplikace provést registrace. Další informace naleznete v tématu Správa registrace. Upozorňujeme, že klientská aplikace tímto způsobem nebude mít přímý přístup ke službě Notification Hubs.
Nároky na zabezpečení
Podobně jako u jiných entit jsou operace Notification Hub povoleny pro tři deklarace identity zabezpečení: Naslouchání, Odesílání a Správa.
| Nárok | Popis | Povolené operace |
|---|---|---|
| Naslouchat | Vytvoření, aktualizace, čtení a odstranění jednotlivých registrací | Vytvoření nebo aktualizace registrace Zobrazení registrace Čtení všech registrací popisovače Odstranění registrace |
| Odeslat | Odesílání zpráv do centra oznámení | Odeslat zprávu |
| Spravovat | Operace CRUD v rámci Notification Hubs (včetně aktualizace přihlašovacích údajů PNS a bezpečnostních klíčů) a čtení registrací podle značek. | Vytvoření, aktualizace, čtení a odstranění center Čtení registrací podle značky |
Notification Hubs přijímá tokeny SAS vygenerované pomocí sdílených klíčů nakonfigurovaných přímo v centru.
Oznámení není možné odeslat více než jednomu oboru názvů. Obory názvů jsou logické kontejnery pro Notification Hubs a nejsou zapojeny do odesílání oznámení.
Pro operace na úrovni oboru názvů použijte zásady přístupu na téže úrovni (přihlašovací údaje); například: seznam rozbočovačů, vytváření nebo odstraňování rozbočovačů atd. Pouze zásady přístupu na úrovni rozbočovače umožňují odesílat oznámení.
Tokeny SAS pro zásady přístupu
Pokud chcete vytvořit novou deklaraci identity zabezpečení nebo zobrazit existující klíče SAS, postupujte takto:
- Přihlaste se k portálu Azure.
- Vyberte Všechny prostředky.
- Vyberte název centra oznámení, pro které chcete vytvořit nárok nebo zobrazit klíč SAS.
- V nabídce vlevo vyberte Zásady přístupu.
- Vyberte Nová politika pro vytvoření nového požadavku zabezpečení. Pojmenujte zásadu a vyberte oprávnění, která chcete udělit. Pak vyberte OK.
- Úplný připojovací řetězec (včetně nového klíče SAS) se zobrazí v okně Zásady přístupu. Tento řetězec můžete zkopírovat do schránky pro pozdější použití.
Pokud chcete extrahovat klíč SAS z konkrétní zásady, vyberte tlačítko Kopírovat vedle zásady obsahující požadovaný klíč SAS. Tuto hodnotu vložte do dočasného umístění a pak zkopírujte část připojovacího řetězce obsahující klíč SAS. Tento příklad používá obor názvů Notification Hubs s názvem mytestnamespace1 a zásadu pojmenovanou policy2. Klíč SAS je hodnota blízko konce řetězce určeného parametrem SharedAccessKey:
Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>
