Megosztás a következőn keresztül:


Service Bus-hitelesítés és -engedélyezés

Kétféleképpen hitelesítheti és engedélyezheti az Azure Service Bus-erőforrásokhoz való hozzáférést:

  • Microsoft Entra ID
  • Közös hozzáférésű jogosultságkódok (SAS).

Ez a cikk részletesen ismerteti a két biztonsági mechanizmus használatát.

Microsoft Entra ID

A Microsoft Entra Service Bus-integrációja szerepköralapú hozzáférés-vezérlést (RBAC) biztosít a Service Bus-erőforrásokhoz. Az Azure RBAC használatával engedélyeket adhat egy biztonsági tagnak, amely lehet felhasználó, csoport, alkalmazásszolgáltatás-tag vagy felügyelt identitás. A Microsoft Entra hitelesíti a biztonsági tagot, és egy OAuth 2.0-jogkivonatot ad vissza. Ez a jogkivonat egy Service Bus-erőforrás (üzenetsor, témakör és előfizetés) elérésére irányuló kérés engedélyezésére használható.

A Microsoft Entra-azonosítóval való hitelesítésről az alábbi cikkekben talál további információt:

Feljegyzés

A Service Bus REST API támogatja az OAuth-hitelesítést a Microsoft Entra-azonosítóval.

Fontos

A Microsoft Entra ID által visszaadott OAuth 2.0 jogkivonatot használó felhasználók vagy alkalmazások engedélyezése kiváló biztonságot és egyszerű használatot biztosít a közös hozzáférésű jogosultságkódokkal (SAS) szemben. A Microsoft Entra-azonosítóval nincs szükség jogkivonatok tárolására a kódban, és nem kockáztathatja a biztonsági réseket. Javasoljuk, hogy lehetőség szerint használja a Microsoft Entra ID-t az Azure Service Bus-alkalmazásokkal.

A Service Bus-névtér helyi vagy SAS-kulcsos hitelesítését letilthatja, és csak a Microsoft Entra-hitelesítést engedélyezheti. Részletes útmutatásért tekintse meg a helyi hitelesítés letiltása című témakört.

Közös hozzáférésű jogosultságkód

Az SAS-hitelesítés lehetővé teszi, hogy a felhasználó számára hozzáférést biztosítson a Service Bus-erőforrásokhoz, meghatározott jogosultságokkal. A Service Bus SAS-hitelesítése magában foglalja egy titkosítási kulcs konfigurálását a társított jogosultságokkal egy Service Bus-erőforráson. Az ügyfelek ezt követően egy SAS-jogkivonat bemutatásával férhetnek hozzá az erőforráshoz, amely a hozzáférés alatt álló erőforrás URI-ját és a konfigurált kulccsal aláírt lejáratot tartalmazza.

A megosztott hozzáférési szabályzatokat Service Bus-névtéren konfigurálhatja. A kulcs az adott névtérben lévő összes üzenettovábbítási entitásra vonatkozik. A Service Bus-üzenetsorokon és -témakörökben is konfigurálhat megosztott hozzáférési szabályzatokat. Az SAS használatához konfigurálhat egy megosztott hozzáférés-engedélyezési szabályt egy névtéren, üzenetsoron vagy témakörön. Ez a szabály a következő elemekből áll:

  • KeyName: azonosítja a szabályt.
  • PrimaryKey: SAS-jogkivonatok aláírásához/érvényesítéséhez használt titkosítási kulcs.
  • SecondaryKey: SAS-jogkivonatok aláírásához/érvényesítéséhez használt titkosítási kulcs.
  • Jogosultságok: a megadott figyelési, küldési vagy kezelési jogosultságok gyűjteményét jelöli.

A névtér szintjén konfigurált engedélyezési szabályok hozzáférést biztosíthatnak a névtérben lévő összes entitáshoz a megfelelő kulccsal aláírt jogkivonatokkal rendelkező ügyfelek számára. Legfeljebb 12 ilyen engedélyezési szabályt konfigurálhat Service Bus-névtéren, üzenetsoron vagy témakörön. Alapértelmezés szerint minden jogosultsággal rendelkező közös hozzáférés-engedélyezési szabály minden névtérhez konfigurálva van az első üzembe helyezéskor.

Egy entitás eléréséhez az ügyfélnek egy adott megosztott hozzáférés-engedélyezési szabály használatával létrehozott SAS-jogkivonatra van szüksége. Az SAS-jogkivonat egy olyan erőforrás-sztring HMAC-SHA256 használatával jön létre, amely abból az erőforrás-URI-ból áll, amelyhez hozzáférést igényelnek, valamint az engedélyezési szabályhoz társított titkosítási kulccsal rendelkező lejárat.

Az SAS hitelesítéshez való használatával kapcsolatos részletes információkért lásd : Közös hozzáférésű jogosultságkóddal történő hitelesítés.

A Microsoft Entra-azonosítóval való hitelesítésről az alábbi cikkekben talál további információt:

Az SAS hitelesítésével kapcsolatos további információkért tekintse meg a következő cikkeket: