Service Bus-hitelesítés és -engedélyezés
Kétféleképpen hitelesítheti és engedélyezheti az Azure Service Bus-erőforrásokhoz való hozzáférést:
- Microsoft Entra ID
- Közös hozzáférésű jogosultságkódok (SAS).
Ez a cikk részletesen ismerteti a két biztonsági mechanizmus használatát.
Microsoft Entra ID
A Microsoft Entra Service Bus-integrációja szerepköralapú hozzáférés-vezérlést (RBAC) biztosít a Service Bus-erőforrásokhoz. Az Azure RBAC használatával engedélyeket adhat egy biztonsági tagnak, amely lehet felhasználó, csoport, alkalmazásszolgáltatás-tag vagy felügyelt identitás. A Microsoft Entra hitelesíti a biztonsági tagot, és egy OAuth 2.0-jogkivonatot ad vissza. Ez a jogkivonat egy Service Bus-erőforrás (üzenetsor, témakör stb.) elérésére irányuló kérés engedélyezésére használható.
A Microsoft Entra-azonosítóval való hitelesítésről az alábbi cikkekben talál további információt:
Feljegyzés
A Service Bus REST API támogatja az OAuth-hitelesítést a Microsoft Entra-azonosítóval.
Fontos
A Microsoft Entra ID által visszaadott OAuth 2.0 jogkivonatot használó felhasználók vagy alkalmazások engedélyezése kiváló biztonságot és egyszerű használatot biztosít a közös hozzáférésű jogosultságkódokkal (SAS) szemben. A Microsoft Entra-azonosítóval nincs szükség jogkivonatok tárolására a kódban, és nem kockáztathatja a biztonsági réseket. Javasoljuk, hogy lehetőség szerint használja a Microsoft Entra ID-t az Azure Service Bus-alkalmazásokkal.
A Service Bus-névtér helyi vagy SAS-kulcsos hitelesítését letilthatja, és csak a Microsoft Entra-hitelesítést engedélyezheti. Részletes útmutatásért tekintse meg a helyi hitelesítés letiltása című témakört.
Közös hozzáférésű jogosultságkód
Az SAS-hitelesítés lehetővé teszi, hogy a felhasználó számára hozzáférést biztosítson a Service Bus-erőforrásokhoz, meghatározott jogosultságokkal. A Service Bus SAS-hitelesítése magában foglalja egy titkosítási kulcs konfigurálását a társított jogosultságokkal egy Service Bus-erőforráson. Az ügyfelek ezt követően egy SAS-jogkivonat bemutatásával férhetnek hozzá az erőforráshoz, amely a hozzáférés alatt álló erőforrás URI-ját és a konfigurált kulccsal aláírt lejáratot tartalmazza.
Az SAS kulcsait Service Bus-névtéren konfigurálhatja. A kulcs az adott névtérben lévő összes üzenettovábbítási entitásra vonatkozik. A Service Bus-üzenetsorokon és -témakörökben kulcsokat is konfigurálhat. Az SAS használatához konfigurálhat egy megosztott hozzáférés-engedélyezési szabályt egy névtéren, üzenetsoron vagy témakörön. Ez a szabály a következő elemekből áll:
- KeyName: azonosítja a szabályt.
- PrimaryKey: SAS-jogkivonatok aláírásához/érvényesítéséhez használt titkosítási kulcs.
- SecondaryKey: SAS-jogkivonatok aláírásához/érvényesítéséhez használt titkosítási kulcs.
- Jogosultságok: a megadott figyelési, küldési vagy kezelési jogosultságok gyűjteményét jelöli.
A névtér szintjén konfigurált engedélyezési szabályok hozzáférést biztosíthatnak a névtérben lévő összes entitáshoz a megfelelő kulccsal aláírt jogkivonatokkal rendelkező ügyfelek számára. Legfeljebb 12 ilyen engedélyezési szabályt konfigurálhat Service Bus-névtéren, üzenetsoron vagy témakörön. Alapértelmezés szerint minden jogosultsággal rendelkező közös hozzáférés-engedélyezési szabály minden névtérhez konfigurálva van az első üzembe helyezéskor.
Egy entitás eléréséhez az ügyfélnek egy adott megosztott hozzáférés-engedélyezési szabály használatával létrehozott SAS-jogkivonatra van szüksége. Az SAS-jogkivonat egy olyan erőforrás-sztring HMAC-SHA256 használatával jön létre, amely abból az erőforrás-URI-ból áll, amelyhez hozzáférést igényelnek, valamint az engedélyezési szabályhoz társított titkosítási kulccsal rendelkező lejárat.
A Service Bus SAS-hitelesítésének támogatása az Azure .NET SDK 2.0-s és újabb verzióiban érhető el. Az SAS támogatja a megosztott hozzáférés-engedélyezési szabályt. Az kapcsolati sztring paraméterként elfogadó API-k tartalmazzák az SAS-kapcsolati sztring támogatását.
Következő lépések
A Microsoft Entra-azonosítóval való hitelesítésről az alábbi cikkekben talál további információt:
Az SAS hitelesítésével kapcsolatos további információkért tekintse meg a következő cikkeket: