Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Managed Redis nabízí mechanismus ověřování bez hesla díky integraci s ID Microsoft Entra. Mezipaměti Azure Managed Redis ve výchozím nastavení používají ID Microsoft Entra. Když vytvoříte novou mezipaměť, povolí se spravovaná identita.
I když je ověřování pomocí přístupového klíče stále dostupné, je součástí řadu problémů souvisejících se správou zabezpečení a hesel. V tomto článku se naopak dozvíte, jak pro ověřování mezipaměti používat token Microsoft Entra.
V tomto článku se dozvíte, jak pro připojení k instanci Redis použít instanční objekt nebo spravovanou identitu.
Požadavky a omezení
- Ověřování Microsoft Entra je podporováno pouze pro připojení SSL.
- Skupiny Microsoft Entra nejsou podporovány.
- Některé příkazy Redis jsou zablokované. Úplný seznam blokovaných příkazů najdete v tématu Příkazy Redis, které Azure Managed Redis nepodporuje.
Important
Po navázání připojení pomocí tokenu Microsoft Entra musí klientské aplikace před vypršením platnosti token Microsoft Entra pravidelně aktualizovat. Aplikace pak musí odeslat serveru Redis příkaz AUTH, aby nedošlo k narušení připojení. Další informace najdete v části Konfigurace klienta Redis pro použití Microsoft Entra.
Nakonfigurujte svého klienta Redis k použití Microsoft Entra
Pokud jste k ověřování použili přístupové klíče v minulosti, musíte aktualizovat pracovní postup klienta tak, aby podporoval ověřování pomocí ID Microsoft Entra. V této části se dozvíte, jak se připojit ke službě Azure Managed Redis pomocí ID Microsoft Entra.
Přidat uživatele nebo hlavní objekt systému do mezipaměti
Připojte se k mezipaměti na webu Azure Portal.
V nabídce Zdroje vyberte Ověřování.
Na kartě Ověřování Microsoft Entra vyberte Uživatel nebo hlavní objekt služby a potom + Vybrat člena.
Zadejte jméno uživatele, kterého chcete program spustit. Vyberte uživatele, který chcete přidat do seznamu, a vyberte. Uživatel se přidá do seznamu uživatelů Redis.
Pracovní postup klienta Microsoft Entra
Nakonfigurujte klientskou aplikaci tak,
https://redis.azure.com/.defaultaby získala token Microsoft Entra pro obor neboacca5fbb-b7e4-4009-81f1-37e38fd66d78/.defaultpomocí knihovny MSAL (Microsoft Authentication Library).Aktualizujte logiku připojení Redis tak, aby používala následující
UseraPassword:-
User= ID objektu vaší spravované identity nebo služebního objektu -
Password= Token Microsoft Entra, který jste získali pomocí MSAL
-
Před vypršením platnosti tokenu Microsoft Entra pomocí následujícího příkazu se ujistěte, že váš klient automaticky spustí příkaz Redis
AUTH:-
User= ID objektu vaší spravované identity nebo služebního objektu -
Password= Pravidelně aktualizovaný token Microsoft Entra
-
Osvědčené postupy pro ověřování Microsoft Entra
- Nakonfigurujte privátní propojení nebo pravidla brány firewall pro ochranu mezipaměti před útokem na dostupnost služby.
- Ujistěte se, že klientská aplikace odešle nový token Microsoft Entra alespoň tři minuty před vypršením platnosti tokenu, aby nedošlo k přerušení připojení.
- Při pravidelném volání příkazu
AUTHserveru Redis zvažte přidání zpoždění tak, abyAUTHse příkazy střídaly. Server Redis pak nebude přijímat příliš mnoho příkazůAUTHsoučasně.
Řešení potíží s ID Microsoft Entra a vaší mezipamětí
Pokud se vaší aplikaci nepodaří získat přístup k instanci Azure Managed Redis prostřednictvím ID Microsoft Entra, použijte tento skript PowerShellu:
Pomocí tohoto skriptu PowerShellu ověřte tokeny ID Microsoft Entra pro prostředky Azure Managed Redis Cache. Skript ověří tokeny a ověří zásady přístupu, které vám pomůžou diagnostikovat problémy s ověřováním.
Pokud máte potíže s ověřováním připojení Redis pomocí ID Microsoft Entra, spusťte tento skript, abyste analyzovali token Microsoft Entra a identifikovali případné problémy.
Podpora klientských knihoven
Knihovna Microsoft.Azure.StackExchangeRedis je rozšíření prvku StackExchange.Redis, které umožňuje používat Microsoft Entra k ověřování připojení z klientské aplikace Redis ke službě Azure Managed Redis. Rozšíření spravuje ověřovací token, včetně proaktivního obnovování tokenů před vypršením jejich platnosti, aby se zachovala trvalá připojení k Redis po dobu několika dnů.
Tento ukázkový kód ukazuje, jak se pomocí sady NuGet Microsoft.Azure.StackExchangeRedis připojit k instanci Azure Managed Redis pomocí ověřování Microsoft Entra.
Následující tabulka obsahuje odkazy na ukázky kódu. Ty předvádějí, jak se připojit k instanci Azure Managed Redis pomocí tokenu Microsoft Entra. Různé klientské knihovny jsou k dispozici ve více jazycích.
| Klientská knihovna | Jazyk | Odkaz na ukázkový kód |
|---|---|---|
| StackExchange.Redis | platforma .NET | Ukázka kódu StackExchange.Redis |
| redis-py | Python | Ukázka kódu redis-py |
| Jedis | Java | Ukázka kódu Jedis |
| Lettuce | Java | Ukázka kódu Lettuce |
| node-redis | Node.js | Ukázka kódu node-redis |
| go-redis | Go | Ukázka kódu go |
Zakázání ověřování přístupového klíče v mezipaměti
Pokud máte mezipaměť pomocí přístupových klíčů, doporučujeme přepnout na Microsoft Entra ID jako bezpečný způsob připojení mezipaměti a zakázání přístupových klíčů.
Když zakážete přístupové klíče, systém ukončí všechna existující klientská připojení bez ohledu na to, jestli používají přístupové klíče nebo ověřování Microsoft Entra ID.
Než zakážete přístupové klíče v geograficky replikovaných mezipamětí, musíte:
- Zrušte propojení mezipamětí.
- Zakázání přístupových klíčů
- Znovu propojte mezipaměti.
Pokud chcete přístupové klíče zakázat, postupujte takto:
Na webu Azure Portal vyberte instanci Azure Managed Redis, ve které chcete zakázat přístupové klíče.
V nabídce Prostředek vyberte Ověřování.
V pracovním podokně vyberte Přístupové klávesy.
Výběrem ovládacího prvku Ověřování přístupových klíčů zakažte přístupové klíče.
Potvrďte, že chcete aktualizovat konfiguraci výběrem možnosti Ano.
Important
Při změně nastavení ověřování přístupových klíčů pro mezipaměť se ukončí všechna existující klientská připojení, která používají přístupové klíče nebo Microsoft Entra. Použijte osvědčené postupy a implementujte vhodné mechanismy opakování pro opětovné připojení k připojením založeným na Microsoft Entra. Další informace najdete v tématu Odolnost připojení.