Share via

A Notification Hubs biztonsága

  • Cikk

Áttekintés

Ez a témakör az Azure Notification Hubs biztonsági modelljét ismerteti.

Közös hozzáférésű jogosultságkódok biztonsága

A Notification Hubs egy közös hozzáférésű jogosultságkód (SAS) nevű entitásszintű biztonsági sémát valósít meg. Minden szabály tartalmaz egy nevet, egy kulcsértéket (megosztott titkos kulcsot) és egy jogkészletet, amint azt a biztonsági jogcímek későbbi részében ismertetik.

Központ létrehozásakor a rendszer automatikusan két szabályt hoz létre: egyet figyeli jogosultságokkal (amelyeket az ügyfélalkalmazás használ), a másik pedig az összes jogosultsággal (amelyet az alkalmazás háttérrendszere használ):

  • DefaultListenSharedAccessSignature: csak a Figyelés engedélyt adja meg.
  • DefaultFullSharedAccessSignature: Figyelés, kezelés és küldés engedélyeket ad. Ez a szabályzat csak az alkalmazás háttérrendszerében használható. Ne használja ügyfélalkalmazásokban; csak Figyelés hozzáféréssel rendelkező szabályzatot használjon. Ha új egyéni hozzáférési szabályzatot szeretne létrehozni egy új SAS-jogkivonattal, olvassa el a jelen cikk SAS-jogkivonatok hozzáférési szabályzatokhoz című szakaszát.

Az ügyfélalkalmazások regisztrációkezelésének végrehajtásakor, ha az értesítéseken keresztül küldött információk nem bizalmasak (például időjárási frissítések), az értesítési központhoz való hozzáférés gyakori módja az, hogy a szabály csak figyelési hozzáférést ad az ügyfélalkalmazáshoz, és teljes hozzáférést ad a szabály kulcsértékének az alkalmazás háttérrendszeréhez.

Az alkalmazások nem ágyazhatja be a kulcsértéket a Windows Áruházbeli ügyfélalkalmazásokba; ehelyett kérje le az ügyfélalkalmazást az alkalmazás háttérrendszeréből indításkor.

A Figyelő hozzáféréssel rendelkező kulcs lehetővé teszi, hogy az ügyfélalkalmazás bármilyen címkére regisztráljon. Ha az alkalmazásnak adott címkékre kell korlátoznia a regisztrációkat adott ügyfelekre (például ha a címkék felhasználói azonosítókat jelölnek), az alkalmazás háttérrendszerének végre kell hajtania a regisztrációkat. További információ: Regisztrációkezelés. Vegye figyelembe, hogy így az ügyfélalkalmazás nem fog közvetlen hozzáféréssel rendelkezni a Notification Hubshoz.

Biztonsági jogcímek

A többi entitáshoz hasonlóan a Notification Hub-műveletek három biztonsági jogcím esetében engedélyezettek: Figyelés, Küldés és Kezelés.

Jogcím Description Műveletek engedélyezettek
Figyelés Önálló regisztrációk létrehozása/frissítése, olvasása és törlése Regisztráció létrehozása/frissítése

Regisztráció olvasása

Leíró összes regisztrációjának olvasása

Regisztráció törlése
Küldés Üzenetek küldése az Értesítési központba Üzenet küldése
Kezelés CRUD-k a Notification Hubson (beleértve a PNS hitelesítő adatainak és biztonsági kulcsainak frissítését), valamint a regisztrációk olvasása címkék alapján Központok létrehozása/frissítése/olvasása/törlése

Regisztrációk olvasása címke szerint

A Notification Hubs elfogadja a közvetlenül a központban konfigurált megosztott kulcsokkal létrehozott SAS-jogkivonatokat.

Egynél több névtérbe nem lehet értesítést küldeni. A névterek a Notification Hubs logikai tárolói, és nem vesznek részt az értesítések küldésében.

A névtérszintű műveletekhez használja a névtérszintű hozzáférési szabályzatokat (hitelesítő adatokat); például: központok listázása, központok létrehozása vagy törlése stb. Csak a központi szintű hozzáférési szabályzatok teszik lehetővé az értesítések küldését.

SAS-jogkivonatok hozzáférési szabályzatokhoz

Új biztonsági jogcím létrehozásához vagy a meglévő SAS-kulcsok megtekintéséhez tegye a következőket:

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza a Minden erőforrás elemet.
  3. Válassza ki annak az értesítési központnak a nevét, amelyhez létre szeretné hozni a jogcímet, vagy tekintse meg az SAS-kulcsot.
  4. A bal oldali menüben válassza a Hozzáférési szabályzatok lehetőséget.
  5. Új biztonsági jogcím létrehozásához válassza az Új szabályzat lehetőséget. Nevezze el a szabályzatot, és válassza ki a megadni kívánt engedélyeket. Ez után válassza az OK gombot.
  6. A teljes kapcsolati sztring (az új SAS-kulccsal együtt) megjelenik a Hozzáférési szabályzatok ablakban. Ezt a sztringet később a vágólapra másolhatja.

Ha ki szeretné nyerni az SAS-kulcsot egy adott szabályzatból, válassza a Másolás gombot a kívánt SAS-kulcsot tartalmazó szabályzat mellett. Illessze be ezt az értéket egy ideiglenes helyre, majd másolja ki a kapcsolati sztring SAS-kulcs részét. Ez a példa egy mytestnamespace1 nevű Notification Hubs-névteret és egy policy2 nevű szabályzatot használ. Az SAS-kulcs a SharedAccessKey által megadott sztring végéhez közeli érték:

Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>

SAS-kulcsok lekérése

Következő lépések