Zabezpečení Notification Hubs
Přehled
Toto téma popisuje model zabezpečení služby Azure Notification Hubs.
Zabezpečení sdíleného přístupových podpisů
Notification Hubs implementuje schéma zabezpečení na úrovni entity označované jako sdílený přístupový podpis (SAS). Každé pravidlo obsahuje název, hodnotu klíče (sdílený tajný klíč) a sadu práv, jak je vysvětleno dále v části Deklarace identity zabezpečení.
Při vytváření centra se automaticky vytvoří dvě pravidla: jedno s právy naslouchání (které používá klientská aplikace) a druhé se všemi právy (která používá back-end aplikace):
- DefaultListenSharedAccessSignature: uděluje jenom oprávnění k naslouchání .
- DefaultFullSharedAccessSignature: uděluje oprávnění k naslouchání, správě a odesílání . Tato zásada se použije jenom v back-endu vaší aplikace. Nepoužívejte ji v klientských aplikacích. použít zásadu pouze s přístupem k naslouchání . Pokud chcete vytvořit nové vlastní zásady přístupu s novým tokenem SAS, přečtěte si téma Věnované tokenům SAS pro zásady přístupu dále v tomto článku.
Pokud při správě registrací z klientských aplikací nejsou informace odeslané prostřednictvím oznámení citlivé (například aktualizace počasí), běžným způsobem, jak získat přístup k centru oznámení, je poskytnout klíčové hodnotě pravidla Přístup jen pro naslouchání klientské aplikaci a udělit hodnotu klíče pravidla úplný přístup k back-endu aplikace.
Aplikace by neměly vkládat hodnotu klíče do klientských aplikací pro Windows Store. místo toho požádejte klientskou aplikaci, aby ji při spuštění načetla z back-endu aplikace.
Klíč s přístupem k naslouchání umožňuje klientské aplikaci zaregistrovat libovolnou značku. Pokud vaše aplikace musí omezit registrace na konkrétní značky na konkrétní klienty (například když značky představují ID uživatelů), back-end aplikace musí provést registraci. Další informace najdete v tématu Správa registrací. Upozorňujeme, že klientská aplikace tímto způsobem nebude mít přímý přístup k Notification Hubs.
Deklarace identity zabezpečení
Podobně jako u jiných entit jsou operace centra oznámení povolené pro tři deklarace identity zabezpečení: naslouchání, odesílání a správa.
| Deklarovat | Popis | Operace jsou povolené. |
|---|---|---|
| Naslouchat | Vytvoření/aktualizace, čtení a odstranění jednotlivých registrací | Vytvoření nebo aktualizace registrace Čtení registrace Čtení všech registrací pro popisovač Odstranit registraci |
| Odeslat | Odesílání zpráv do centra oznámení | Odeslat zprávu |
| Spravovat | Operace CRUD ve službě Notification Hubs (včetně aktualizace přihlašovacích údajů systému PNS a klíčů zabezpečení) a čtení registrací na základě značek | Vytvoření, aktualizace, čtení, odstranění center Čtení registrací podle značky |
Notification Hubs přijímá tokeny SAS vygenerované se sdílenými klíči nakonfigurovanými přímo v centru.
Není možné odeslat oznámení do více než jednoho oboru názvů. Obory názvů jsou logické kontejnery pro Notification Hubs a nejsou zapojeny do odesílání oznámení.
Použít zásady přístupu na úrovni oboru názvů (přihlašovací údaje) pro operace na úrovni oboru názvů; například: výpis center, vytvoření nebo odstranění center atd. Oznámení vám umožňují posílat jenom zásady přístupu na úrovni centra.
Tokeny SAS pro zásady přístupu
Pokud chcete vytvořit novou deklaraci identity zabezpečení nebo zobrazit existující klíče SAS, postupujte takto:
- Přihlaste se k webu Azure Portal.
- Vyberte Všechny prostředky.
- Vyberte název centra oznámení, pro které chcete vytvořit deklaraci identity, nebo zobrazte klíč SAS.
- V nabídce vlevo vyberte Zásady přístupu.
- Vyberte Nová zásada a vytvořte novou deklaraci identity zabezpečení. Pojmenujte zásadu a vyberte oprávnění, která chcete udělit. Pak vyberte OK.
- Úplný připojovací řetězec (včetně nového klíče SAS) se zobrazí v okně Zásady přístupu. Tento řetězec můžete zkopírovat do schránky pro pozdější použití.
Pokud chcete extrahovat klíč SAS z konkrétní zásady, vyberte tlačítko Kopírovat vedle zásady obsahující požadovaný klíč SAS. Vložte tuto hodnotu do dočasného umístění a pak zkopírujte část klíče SAS připojovacího řetězce. Tento příklad používá obor názvů Notification Hubs s názvem mytestnamespace1 a zásadu s názvem policy2. Klíč SAS je hodnota na konci řetězce určená parametrem SharedAccessKey:
Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>
