Hozzáférés engedélyezése a Microsoft Entra-azonosítóval az Azure SignalR Service-hez
Az Azure SignalR Service támogatja a Microsoft Entra-azonosítót az erőforrásokra irányuló kérések engedélyezéséhez. A Microsoft Entra-azonosítóval szerepköralapú hozzáférés-vezérléssel (RBAC) adhat engedélyeket egy biztonsági tagnak. A biztonsági tag egy felhasználó/erőforráscsoport, alkalmazás vagy szolgáltatásnév, például rendszer által hozzárendelt identitások és felhasználó által hozzárendelt identitások.
A Microsoft Entra ID hitelesíti a biztonsági tagot, és egy OAuth 2.0-jogkivonatot ad vissza. A jogkivonat ezután az Azure SignalR szolgáltatás erőforrásával kapcsolatos kérések engedélyezésére szolgál.
Az Azure SignalR Service-hez a Microsoft Entra ID használatával történő kérelmek engedélyezése a hozzáférési kulcs engedélyezéséhez képest kiváló biztonságot és egyszerű használatot biztosít. Javasoljuk, hogy a Microsoft Entra ID-t használja az engedélyezéshez, amikor csak lehetséges, mert ez biztosítja a hozzáférést a minimálisan szükséges jogosultságokkal.
Fontos
A helyi hitelesítés letiltása a következő következményekkel járhat:
- A hozzáférési kulcsok aktuális készlete véglegesen törlődik.
- Az aktuális hozzáférési kulcsokkal aláírt jogkivonatok elérhetetlenné válnak.
A Microsoft Entra ID áttekintése
Amikor egy biztonsági tag megpróbál hozzáférni egy Azure SignalR-szolgáltatás erőforrásához, a kérést engedélyezni kell. Az erőforrásokhoz való hozzáféréshez a Microsoft Entra ID használatához két lépésre van szükség:
- A Microsoft Entra ID hitelesíti a biztonsági tagot, majd egy OAuth 2.0-jogkivonatot ad vissza.
- A jogkivonat egy kérés részeként kerül átadásra az Azure SignalR szolgáltatás erőforrásának a kérés engedélyezéséhez.
Ügyféloldali hitelesítés Microsoft Entra-azonosítóval
Hozzáférési kulcs használata esetén a kulcs meg van osztva az alkalmazáskiszolgáló (vagy függvényalkalmazás) és az Azure SignalR Service-erőforrás között. Az Azure SignalR Service a megosztott kulccsal hitelesíti az ügyfélkapcsolati kérelmet.
A Microsoft Entra ID használatakor nincs megosztott kulcs. Ehelyett az Azure SignalR Service egy ideiglenes hozzáférési kulcsot használ az ügyfélkapcsolatokban használt tokenek aláírásához. A munkafolyamat négy lépést tartalmaz:
- A biztonsági tagnak szüksége van egy OAuth 2.0-s jogkivonatra a Microsoft Entra ID-ből a hitelesítéshez.
- A biztonsági tag meghívja a SignalR hitelesítési API-t egy ideiglenes hozzáférési kulcs lekéréséhez.
- A rendszerbiztonsági tag aláír egy ügyféljogkivonatot az ügyfélkapcsolatok ideiglenes hozzáférési kulcsával a tárgyalás során.
- Az ügyfél az ügyfél jogkivonatával csatlakozik az Azure SignalR Szolgáltatás erőforrásaihoz.
Az ideiglenes hozzáférési kulcs 90 perc múlva lejár. Javasoljuk, hogy szerezze be az újat, és óránként egyszer forgassa el a régit.
A munkafolyamat az Alkalmazáskiszolgálókhoz készült Azure SignalR Service SDK-ban van létrehozva.
Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz
A Microsoft Entra ID engedélyezi a hozzáférési jogosultságokat az erőforrások védelméhez az Azure RBAC-en keresztül. Az Azure SignalR Service olyan beépített Azure-szerepköröket határoz meg, amelyek az Azure SignalR Szolgáltatás erőforrásaihoz való hozzáféréshez szükséges általános engedélyeket foglalják magukban. Egyéni szerepköröket is meghatározhat az Azure SignalR Szolgáltatás erőforrásaihoz való hozzáféréshez.
Erőforrás hatóköre
Előfordulhat, hogy meg kell határoznia, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak, mielőtt bármilyen Azure RBAC-szerepkört hozzárendelne egy biztonsági taghoz. Javasoljuk, hogy csak a lehető legszűkebb hatókört adja meg. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.
Az Azure SignalR-szolgáltatás erőforrásaihoz való hozzáférést a következő szinteken, a legszűkebb hatókörtől kezdve használhatja.
| Scope | Leírás |
|---|---|
| Egyéni erőforrás | Csak a célerőforrásra vonatkozik. |
| Erőforráscsoport | Az erőforráscsoport összes erőforrására vonatkozik. |
| Subscription | Az előfizetés összes erőforrására vonatkozik. |
| Felügyeleti csoport | A felügyeleti csoporthoz tartozó előfizetések összes erőforrására vonatkozik. |
Azure beépített szerepkörök az Azure SignalR Service-erőforrásokhoz
| Szerepkör | Leírás | Use case |
|---|---|---|
| SignalR alkalmazáskiszolgáló | Hozzáférés a WebSocket-kapcsolatlétrehozási API-khoz és a hitelesítési API-khoz. | Leggyakrabban alkalmazáskiszolgálókhoz használják. |
| SignalR-szolgáltatás tulajdonosa | Teljes hozzáférés az összes adatsík API-hoz, beleértve a REST API-kat, a WebSocket kapcsolatlétrehozási API-kat és a hitelesítési API-kat. | Kiszolgáló nélküli módként használható a Microsoft Entra-azonosítóval való engedélyezéshez, mert REST API-engedélyeket és hitelesítési API-engedélyeket is igényel. |
| SignalR REST API-tulajdonos | Teljes hozzáférés az adatsík REST API-ihoz. | Gyakran használnak olyan eszköz írására, amely kezeli a kapcsolatokat és a csoportokat, de nem hoz létre kapcsolatokat vagy nem hív meg hitelesítési API-kat. |
| SignalR REST API-olvasó | Írásvédett hozzáférés az adatsík REST API-ihoz. | Gyakran használnak olyan monitorozási eszközt, amely csak az Azure SignalR Service adatsík írásvédett REST API-jait hívja meg. |
Következő lépések
Ha tudni szeretné, hogyan hozhat létre Azure-alkalmazást, és hogyan használhatja a Microsoft Entra-engedélyezést, olvassa el az Azure SignalR Service-erőforrásokra irányuló kérelmek engedélyezése a Microsoft Entra-alkalmazásokkal című témakört.
A felügyelt identitás konfigurálásáról és a Microsoft Entra-engedélyezés használatáról további információt az Azure SignalR Service-erőforrásokra irányuló kérelmek engedélyezése a Microsoft Entra által felügyelt identitásokkal című témakörben talál.
A szerepkörökről és a szerepkör-hozzárendelésekről további információt az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) című témakörben talál.
Az egyéni szerepkörök létrehozásának lépéseit az egyéni szerepkörök létrehozásának lépései című témakörben találja.
Ha meg szeretné tudni, hogyan használhatja csak a Microsoft Entra-hitelesítést, olvassa el a helyi hitelesítés letiltása című témakört.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: