Menggunakan ID Microsoft Entra untuk autentikasi cache
Azure Cache for Redis menawarkan dua metode untuk mengautentikasi ke instans cache Anda: Kunci akses dan ID Microsoft Entra
Meskipun autentikasi kunci akses sederhana, ini dilengkapi dengan serangkaian tantangan sekeliling manajemen keamanan dan kata sandi. Sebaliknya, dalam artikel ini, Anda mempelajari cara menggunakan token Microsoft Entra untuk autentikasi cache.
Azure Cache for Redis menawarkan mekanisme autentikasi bebas kata sandi dengan mengintegrasikan dengan MICROSOFT Entra ID). Integrasi ini juga mencakup fungsionalitas kontrol akses berbasis peran yang disediakan melalui daftar kontrol akses (ACL) yang didukung di sumber terbuka Redis.
Untuk menggunakan integrasi ACL, aplikasi klien Anda harus mengasumsikan identitas entitas Microsoft Entra, seperti perwakilan layanan atau identitas terkelola, dan terhubung ke cache Anda. Dalam artikel ini, Anda mempelajari cara menggunakan perwakilan layanan atau identitas terkelola untuk menyambungkan ke cache Anda, dan cara memberikan izin koneksi yang telah ditentukan sebelumnya berdasarkan artefak Microsoft Entra yang digunakan untuk koneksi.
Cakupan ketersediaan
| Tingkat | Dasar, Standar, Premium | Enterprise, Enterprise Flash |
|---|---|---|
| Ketersediaan | Ya | Tidak |
Prasyarat dan batasan
- Autentikasi berbasis ID Microsoft Entra didukung untuk koneksi SSL dan TLS 1.2 atau yang lebih tinggi.
- Autentikasi berbasis ID Microsoft Entra tidak didukung pada instans Azure Cache for Redis yang bergantung pada Cloud Services.
- Autentikasi berbasis ID Microsoft Entra tidak didukung di tingkat Perusahaan Azure Cache for Redis Enterprise.
- Beberapa perintah Redis diblokir. Untuk daftar lengkap perintah yang diblokir, lihat Perintah Redis yang tidak didukung di Azure Cache for Redis.
Penting
Setelah koneksi dibuat menggunakan token Microsoft Entra, aplikasi klien harus secara berkala menyegarkan token Microsoft Entra sebelum kedaluwarsa, dan mengirim AUTH perintah ke server Redis untuk menghindari gangguan koneksi. Untuk informasi selengkapnya, lihat Mengonfigurasi klien Redis Anda untuk menggunakan ID Microsoft Entra.
Mengaktifkan autentikasi ID Microsoft Entra di cache Anda
Di portal Azure, pilih instans Azure Cache for Redis tempat Anda ingin mengonfigurasi autentikasi berbasis token Microsoft Entra.
Pilih Autentikasi dari menu Sumber Daya.
Di panel kerja, pilih Aktifkan Autentikasi Microsoft Entra.
Pilih Aktifkan Autentikasi Microsoft Entra, dan masukkan nama pengguna yang valid. Pengguna yang Anda masukkan secara otomatis diberi Kebijakan Akses Pemilik Data secara default saat Anda memilih Simpan. Anda juga dapat memasukkan identitas terkelola atau perwakilan layanan untuk terhubung ke instans cache Anda.
Kotak dialog popup menampilkan menanyakan apakah Anda ingin memperbarui konfigurasi, dan memberi tahu Anda bahwa diperlukan waktu beberapa menit. Pilih Ya.
Penting
Setelah operasi pengaktifan selesai, simpul di instans cache Anda memulai ulang untuk memuat konfigurasi baru. Sebaiknya lakukan operasi ini selama jendela pemeliharaan Anda atau di luar jam sibuk Anda. Operasi ini dapat memakan waktu hingga 30 menit.
Untuk informasi tentang menggunakan ID Microsoft Entra dengan Azure CLI, lihat halaman referensi untuk identitas.
Menggunakan konfigurasi akses data dengan cache Anda
Jika Anda ingin menggunakan kebijakan akses kustom alih-alih Pemilik Data Redis, buka Konfigurasi Akses Data pada menu Sumber Daya. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan akses data kustom untuk aplikasi Anda.
Di portal Azure, pilih instans Azure Cache for Redis tempat Anda ingin menambahkan ke Konfigurasi Akses Data.
Pilih Konfigurasi Akses Data dari menu Sumber Daya.
Pilih Tambahkan dan pilih Pengguna Redis Baru.
Pada tab Kebijakan Akses, pilih satu kebijakan yang tersedia dalam tabel: Pemilik Data, Kontributor Data, atau Pembaca Data. Kemudian, pilih Pengguna Berikutnya:Redis.
Pilih Pengguna atau perwakilan layanan atau Identitas Terkelola untuk menentukan cara menetapkan akses ke instans Azure Cache for Redis Anda. Jika Anda memilih Pengguna atau perwakilan layanan, dan ingin menambahkan pengguna, Anda harus terlebih dahulu mengaktifkan Autentikasi Microsoft Entra.
Lalu, pilih Pilih anggota dan pilih Pilih. Kemudian, pilih Berikutnya : Tinjau + Tetapkan.
Sebuah kotak dialog kemudian akan muncul dan memberi tahu Anda bahwa peningkatan bersifat permanen dan dapat menyebabkan kesalahan koneksi singkat. Pilih Ya.
Penting
Setelah operasi pengaktifan selesai, simpul di instans cache Anda memulai ulang untuk memuat konfigurasi baru. Sebaiknya lakukan operasi ini selama jendela pemeliharaan Anda atau di luar jam sibuk Anda. Operasi ini dapat memakan waktu hingga 30 menit.
Mengonfigurasi klien Redis Anda untuk menggunakan ID Microsoft Entra
Karena sebagian besar klien Azure Cache for Redis mengasumsikan bahwa kata sandi dan kunci akses digunakan untuk autentikasi, Anda mungkin perlu memperbarui alur kerja klien Anda untuk mendukung autentikasi menggunakan ID Microsoft Entra. Di bagian ini, Anda mempelajari cara mengonfigurasi aplikasi klien untuk menyambungkan ke Azure Cache for Redis menggunakan token Microsoft Entra.
Alur Kerja Klien Microsoft Entra
Konfigurasikan aplikasi klien Anda untuk memperoleh token Microsoft Entra untuk cakupan,
https://redis.azure.com/.defaultatau , menggunakan Microsoft Authentication Library (MSAL)acca5fbb-b7e4-4009-81f1-37e38fd66d78/.default.Perbarui logika koneksi Redis Anda untuk menggunakan berikut dan
UserPassword:User= ID objek identitas terkelola atau perwakilan layanan AndaPassword= Token Microsoft Entra yang Anda peroleh menggunakan MSAL
Pastikan klien Anda menjalankan perintah Redis AUTH secara otomatis sebelum token Microsoft Entra Anda kedaluwarsa menggunakan:
User= ID objek identitas terkelola atau perwakilan layanan AndaPassword= Token Microsoft Entra disegarkan secara berkala
Dukungan pustaka klien
Pustaka Microsoft.Azure.StackExchangeRedis adalah ekstensi StackExchange.Redis yang memungkinkan Anda menggunakan MICROSOFT Entra ID untuk mengautentikasi koneksi dari aplikasi klien Redis ke Azure Cache for Redis. Ekstensi mengelola token autentikasi, termasuk secara proaktif menyegarkan token sebelum kedaluwarsa untuk mempertahankan koneksi Redis persisten selama beberapa hari.
Sampel kode ini menunjukkan cara menggunakan Microsoft.Azure.StackExchangeRedis paket NuGet untuk menyambungkan ke instans Azure Cache for Redis Anda menggunakan ID Microsoft Entra.
Tabel berikut ini menyertakan tautan ke sampel kode, yang menunjukkan cara menyambungkan ke instans Azure Cache for Redis Anda menggunakan token Microsoft Entra. Berbagai pustaka klien disertakan dalam beberapa bahasa.
| Pustaka klien | Bahasa | Tautan ke kode sampel |
|---|---|---|
| StackExchange.Redis | .NET | Sampel kode StackExchange.Redis |
| redis-py | Python | Sampel kode redis-py |
| Jedis | Java | Sampel kode Jedis |
| Lettuce | Java | Sampel kode selada |
| Redisson | Java | Sampel kode Redisson |
| ioredis | Node.js | sampel kode ioredis |
| node-redis | Node.js | sampel kode node-redis |
Praktik terbaik untuk autentikasi Microsoft Entra
Konfigurasikan tautan privat atau aturan firewall untuk melindungi cache Anda dari serangan Penolakan Layanan.
Pastikan aplikasi klien Anda mengirim token Microsoft Entra baru setidaknya 3 menit sebelum token kedaluwarsa untuk menghindari gangguan koneksi.
Saat memanggil perintah server
AUTHRedis secara berkala, pertimbangkan untuk menambahkan jitter sehinggaAUTHperintah terhuyung-mutar, dan server Redis Anda tidak menerima banyak perintah secara bersamaanAUTH.
Konten terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk