Megosztás a következőn keresztül:

A Microsoft Entra használata gyorsítótár-hitelesítéshez

  • A következőre érvényes:: ✅ Azure Cache for Redis

Important

Az Azure Cache for Redis bejelentette az összes termékváltozat kivonási ütemtervét. Javasoljuk, hogy a meglévő Azure Cache for Redis-példányokat mihamarabb áthelyezhesse az Azure Managed Redisbe .

További részletek a nyugdíjba vonulásról:

Az Azure Cache for Redis két módszert kínál a gyorsítótárpéldány hitelesítésére : a hozzáférési kulcsokat és a Microsoft Entrát.

Bár a hozzáférési kulcs hitelesítése egyszerű, számos kihívással jár a biztonság és a jelszókezelés terén. Ezzel szemben ebben a cikkben megtudhatja, hogyan használható a Microsoft Entra-jogkivonat a gyorsítótár-hitelesítéshez.

Az Azure Cache for Redis jelszó nélküli hitelesítési mechanizmust kínál a Microsoft Entra integrálásával. Ez az integráció magában foglalja a szerepkör-alapú hozzáférés-szabályozás funkciót is, amelyet a hozzáférés-szabályozási listák (ACL) támogatnak a nyílt forráskódú Redisben.

Az ACL-integráció használatához az ügyfélalkalmazásnak fel kell vennie egy Microsoft Entra-entitás identitását, például a szolgáltatásnevet vagy a felügyelt identitást, és csatlakoznia kell a gyorsítótárhoz. Ebben a cikkben megtudhatja, hogyan csatlakozhat a gyorsítótárhoz szolgáltatásnévvel vagy felügyelt identitással. Azt is megtudhatja, hogyan adhat meg előre meghatározott engedélyeket a kapcsolathoz használt Microsoft Entra-összetevő alapján.

A rendelkezésre állás hatóköre

Tier Alap, Normál, Prémium Enterprise, Enterprise Flash
Availability Yes No

Előfeltételek és korlátozások

  • A Microsoft Entra-hitelesítés ssl-kapcsolatokhoz és TLS 1.2-s vagy újabb verziókhoz támogatott.
  • A Microsoft Entra-hitelesítés nem támogatott az Azure Cache for Redis Enterprise nagyvállalati szintjeiben.
  • A Microsoft Entra-csoportok nem támogatottak.
  • Néhány Redis-parancs le van tiltva. A letiltott parancsok teljes listájáért tekintse meg az Azure Cache for Redisben nem támogatott Redis-parancsokat.

Important

Miután létrejött egy kapcsolat a Microsoft Entra-jogkivonat használatával, az ügyfélalkalmazásnak a lejárat előtt rendszeresen frissítenie kell a Microsoft Entra-jogkivonatot. Ezután az alkalmazásoknak AUTH parancsot kell küldenie a Redis-kiszolgálónak a kapcsolatok megzavarásának elkerülése érdekében. További információkért lásd: Redis-ügyfél konfigurálása a Microsoft Entra használatára.

A Microsoft Entra-hitelesítés engedélyezése a gyorsítótárban

  1. Az Azure Portalon válassza ki azt az Azure Cache for Redis-példányt, ahol konfigurálni szeretné a Microsoft Entra tokenalapú hitelesítést.

  2. Az Erőforrás menüben válassza a Hitelesítés lehetőséget.

  3. A munkaablakban válassza a Microsoft Entra Authentication lapot.

  4. Válassza a Microsoft Entra-hitelesítés engedélyezése lehetőséget, és adja meg egy érvényes felhasználó nevét. A beírt felhasználó alapértelmezés szerint automatikusan adattulajdonosi hozzáférési szabályzatot kap, amikor a Mentés lehetőséget választja. A gyorsítótárpéldányhoz való csatlakozáshoz megadhat egy felügyelt identitást vagy szolgáltatásnevet is.

    Képernyőkép az erőforrás menüjében kiválasztott hitelesítésről és a Microsoft Entra hitelesítés engedélyezése jelölőnégyzetről.

  5. Egy előugró párbeszédpanel megkérdezi, hogy frissíteni szeretné-e a konfigurációt, és tájékoztatja, hogy ez több percet vesz igénybe. Válassza az Igen lehetőséget.

    Important

    Az engedélyezési művelet befejezése után a gyorsítótárpéldány csomópontjai újraindulnak az új konfiguráció betöltéséhez. Javasoljuk, hogy ezt a műveletet a karbantartási időszak alatt vagy a csúcsidőszakon kívül végezze el. A művelet akár 30 percet is igénybe vehet.

A Microsoft Entra Azure CLI-vel való használatáról az identitás referenciaoldalain tájékozódhat.

Hozzáférési kulcs hitelesítésének letiltása a gyorsítótárban

A gyorsítótár biztonságos csatlakoztatásának módja a Microsoft Entra használata. Javasoljuk, hogy használja a Microsoft Entrát, és tiltsa le a hozzáférési kulcsokat.

Ha letiltja a hozzáférési kulcs hitelesítését a gyorsítótárban, az összes meglévő ügyfélkapcsolat megszakad, függetlenül attól, hogy hozzáférési kulcsokat vagy Microsoft Entra-hitelesítést használnak. Kövesse az ajánlott Redis-ügyfél ajánlott eljárásait a Microsoft Entra-alapú kapcsolatok újracsatlakoztatásához szükséges megfelelő újrapróbálkozási mechanizmusok implementálásához, ha vannak ilyenek.

A hozzáférési kulcsok letiltása előtt

  • Győződjön meg arról, hogy a Microsoft Entra-hitelesítés engedélyezve van, és legalább egy Redis-felhasználó konfigurálva van.
  • Győződjön meg arról, hogy a gyorsítótárpéldányhoz csatlakozó összes alkalmazás a Microsoft Entra Authentication használatára vált.
  • Győződjön meg arról, hogy a Microsoft Entra Tokent használó csatlakoztatottügyfelek és csatlakoztatott ügyfelek metrikái ugyanazokat az értékeket használják. Ha a két mérőszám értékei nem azonosak, az azt jelenti, hogy még mindig vannak olyan kapcsolatok, amelyek nem Microsoft Entra Token, hanem hozzáférési kulcsok használatával jöttek létre.
  • Fontolja meg a hozzáférés letiltását a gyorsítótár példánya ütemezett karbantartási időszakában.
  • A hozzáférési kulcsok letiltása csak alapszintű, standard és prémium szintű gyorsítótárakhoz érhető el.

Georeplikált gyorsítótárak esetén a következőkkel kell rendelkeznie:

  1. Válaszd le a gyorsítótárakat.
  2. Hozzáférési kulcsok letiltása
  3. A gyorsítótárak újrakapcsolása.

Ha van egy gyorsítótára, ahol hozzáférési kulcsokat használt, és le szeretné tiltani a hozzáférési kulcsokat, kövesse az alábbi eljárást:

  1. Az Azure Portalon válassza ki azt az Azure Cache for Redis-példányt, ahol le szeretné tiltani a hozzáférési kulcsokat.

  2. Az Erőforrás menüben válassza a Hitelesítés lehetőséget.

  3. A munkaablakban válassza az Access-kulcsokat.

  4. Válassza a Hozzáférési kulcsok hitelesítésének letiltása lehetőséget. Ezután válassza a Mentés lehetőséget.

    Képernyőkép a hozzáférési kulcsokat bemutató munkaablakban a Hozzáférési kulcsok hitelesítésének letiltása jelölőnégyzettel.

  5. Ellenőrizze, hogy frissíteni szeretné-e a konfigurációt az Igen gombra kattintva.

Important

Ha a hozzáférési kulcsok hitelesítésének letiltása beállítás módosul a gyorsítótárban, a rendszer leállítja az összes meglévő ügyfélkapcsolatot a hozzáférési kulcsok vagy a Microsoft Entra használatával. Kövesse az ajánlott eljárásokat a Microsoft Entra-alapú kapcsolatok újracsatlakoztatásához szükséges újrapróbálkozási mechanizmusok implementálásához. További információ: Kapcsolat rugalmassága.

Adatelérési konfiguráció használata a gyorsítótárral

Ha redis-adattulajdonos helyett egyéni hozzáférési szabályzatot szeretne használni, nyissa meg az Erőforrás menü Adathozzáférési konfigurációját. További információ: Egyéni adatelérési szabályzat konfigurálása az alkalmazáshoz.

  1. Az Azure Portalon válassza ki azt az Azure Cache for Redis-példányt, amelyhez hozzá szeretné adni az adathozzáférési konfigurációt.

  2. Az Erőforrás menüben válassza az Adatelérési konfiguráció lehetőséget.

  3. Válassza a Hozzáadás , majd az Új Redis-felhasználó lehetőséget.

  4. A Hozzáférési szabályzatok lapon válassza ki a táblázat egyik elérhető szabályzatát: Adattulajdonos, Adatszolgáltató vagy Adatolvasó. Ezután válassza a Tovább: Redis-felhasználók lehetőséget.

    Képernyőkép az elérhető hozzáférési szabályzatról.

  5. A Felhasználó vagy szolgáltatásnév vagy a Felügyelt identitás lehetőséget választva meghatározhatja, hogyan rendelhet hozzáférést az Azure Cache for Redis-példányhoz. Ha a Felhasználó vagy szolgáltatásnév lehetőséget választja, és hozzá szeretne adni egy felhasználót, először engedélyeznie kell a Microsoft Entra-hitelesítést.

  6. Ezután válassza a Tagok kijelölése és a Kiválasztás lehetőséget. Ezután válassza a Tovább: Véleményezés + hozzárendelés lehetőséget.

    Képernyőkép az új Redis-felhasználókként felvenni kívánt tagokról.

  7. Az előugró párbeszédpanel értesíti, hogy a frissítés végleges, és rövid kapcsolati megszakadást okozhat. Válassza az Igen lehetőséget.

    Important

    Az engedélyezési művelet befejezése után a gyorsítótárpéldány csomópontjai újraindulnak az új konfiguráció betöltéséhez. Javasoljuk, hogy ezt a műveletet a karbantartási időszak alatt vagy a csúcsidőszakon kívül végezze el. A művelet akár 30 percet is igénybe vehet.

A Redis kliens konfigurálása a Microsoft Entra használatára

Mivel a Legtöbb Azure Cache for Redis-ügyfél feltételezi, hogy a hitelesítéshez jelszó és hozzáférési kulcs van használatban, valószínűleg frissítenie kell az ügyfél-munkafolyamatot, hogy támogassa a hitelesítést a Microsoft Entra használatával. Ebben a szakaszban megtudhatja, hogyan konfigurálhatja az ügyfélalkalmazásokat az Azure Cache for Redishez való csatlakozáshoz Egy Microsoft Entra-jogkivonat használatával.

Microsoft Entra-ügyfél munkafolyamata

  1. Konfigurálja az ügyfélalkalmazást úgy, hogy a Microsoft Authentication Library (MSAL) segítségével https://redis.azure.com/.default, vagy acca5fbb-b7e4-4009-81f1-37e38fd66d78/.default hatókörhöz Microsoft Entra tokent szerezzen.

  2. Frissítse a Redis kapcsolati logikáját a következő User és Password használatára:

    • User = A felügyelt identitás vagy szolgáltatásnév objektumazonosítója
    • Password = Az MSAL használatával beszerzett Microsoft Entra-jogkivonat

  3. Győződjön meg arról, hogy az ügyfél automatikusan végrehajt egy Redis AUTH-parancsot , mielőtt a Microsoft Entra-jogkivonat lejár:

    • User = A felügyelt identitás vagy szolgáltatásnév objektumazonosítója
    • Password = A Microsoft Entra-jogkivonat rendszeresen frissül

Ügyféloldali kódtár támogatása

A könyvtár Microsoft.Azure.StackExchangeRedis egy StackExchange.Redis bővítmény, amely lehetővé teszi a Microsoft Entra használatát a Redis-ügyfélalkalmazás és az Azure Cache for Redis közötti kapcsolat hitelesítésére. A bővítmény kezeli a hitelesítési jogkivonatot, beleértve a jogkivonatok proaktív frissítését, mielőtt lejárnának, hogy több napon keresztül fenntartsák az állandó Redis-kapcsolatokat.

Ez a kódminta bemutatja, hogyan használható a Microsoft.Azure.StackExchangeRedis NuGet-csomag az Azure Cache for Redis-példányhoz való csatlakozáshoz a Microsoft Entra használatával.

Az alábbi táblázat kódmintákra mutató hivatkozásokat tartalmaz. Megmutatják, hogyan csatlakozhat az Azure Cache for Redis példányához Microsoft Entra jogkivonatot használva. A különböző ügyfélkódtárak több nyelven is elérhetők.

Ügyfélkönyvtár Nyelv Hivatkozás mintakódra
StackExchange.Redis .NET StackExchange.Redis-kódminta
redis-py Python redis-py kódminta
Jedis Java Jedis-kódminta
Lettuce Java Salátakódminta
node-redis Node.js node-redis-kódminta
go-redis Go Go kód példa

Ajánlott eljárások a Microsoft Entra-hitelesítéshez

  • Konfiguráljon privát kapcsolatokat vagy tűzfalszabályokat, hogy megvédje a gyorsítótárat a szolgáltatásmegtagadási támadásoktól.
  • Győződjön meg arról, hogy az ügyfélalkalmazás legalább három perccel a jogkivonat lejárta előtt küld egy új Microsoft Entra-jogkivonatot a kapcsolat megszakadásának elkerülése érdekében.
  • Ha rendszeresen meghívja a Redis-kiszolgáló AUTH parancsát, fontolja meg egy véletlenszerű késleltetés hozzáadását, hogy a AUTH parancsok átmenetiek legyenek. Így a Redis-kiszolgáló nem kap egyszerre túl sok AUTH parancsot.

Kapcsolódó tartalom

  • Last updated on