ringkasan autentikasi dan otorisasi Bus Layanan

Autentikasi memverifikasi identitas prinsip keamanan—pengguna, grup, aplikasi, atau identitas terkelola—meminta akses ke sumber daya Azure Service Bus. Otorisasi menentukan tindakan apa yang dapat dilakukan oleh prinsipal.

Azure Service Bus mendukung dua mekanisme autentikasi dan otorisasi:

  • Microsoft Entra ID—Pendekatan yang direkomendasikan menggunakan kontrol akses berbasis peran (RBAC)
  • Tanda tangan akses bersama (SAS)—Autentikasi berbasis token dengan kunci kriptografi

Artikel ini menjelaskan cara kerja setiap mekanisme untuk membantu Anda memilih model keamanan yang sesuai untuk aplikasi Anda.

Microsoft Entra ID

integrasi Microsoft Entra dengan Bus Layanan menyediakan kontrol akses berbasis peran (RBAC) untuk Bus Layanan sumber daya. Anda dapat menggunakan RBAC Azure untuk memberikan izin kepada prinsip keamanan, yang dapat berupa pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola. Microsoft Entra mengautentikasi prinsip keamanan dan mengembalikan token OAuth 2.0. Gunakan token ini untuk mengotorisasi permintaan untuk mengakses sumber daya Bus Layanan (antrean, topik, atau langganan).

Catatan

Azure Bus Layanan REST API mendukung autentikasi OAuth dengan ID Microsoft Entra.

Mengotorisasi pengguna atau aplikasi dengan menggunakan token OAuth 2.0 dari ID Microsoft Entra memberikan keamanan yang unggul dan kemudahan penggunaan melalui tanda tangan akses bersama. Dengan Microsoft Entra ID, Anda tidak perlu menyimpan token dalam kode Anda dan berisiko potensi kerentanan keamanan. Gunakan ID Microsoft Entra dengan aplikasi Azure Service Bus Anda jika memungkinkan.

Anda dapat menonaktifkan autentikasi kunci lokal atau SAS untuk namespace Bus Layanan dan hanya mengizinkan autentikasi Microsoft Entra. Untuk instruksi langkah demi langkah, lihat Menonaktifkan autentikasi lokal.

Tanda tangan akses bersama

Anda dapat menggunakan autentikasi SAS untuk memberikan akses pengguna ke sumber daya Azure Bus Layanan, dengan hak tertentu. Autentikasi SAS di Bus Layanan melibatkan konfigurasi kunci kriptografi dengan hak terkait pada sumber daya Bus Layanan. Klien kemudian dapat memperoleh akses ke sumber daya tersebut dengan menyajikan token SAS, yang terdiri dari URI sumber daya yang diakses dan kedaluwarsa yang ditandatangani dengan kunci yang dikonfigurasi.

Anda dapat mengonfigurasi kebijakan akses bersama pada namespace Bus Layanan. Kunci ini berlaku untuk semua entitas olah pesan dalam namespace tersebut. Anda juga dapat mengonfigurasi kebijakan akses bersama pada antrean dan topik Bus Layanan. Untuk menggunakan SAS, Anda dapat mengonfigurasi aturan otorisasi akses bersama pada namespace, antrean, atau topik. Peraturan terdiri dari elemen-elemen berikut:

  • KeyName: Nama aturan.
  • PrimaryKey: Kunci kriptografi yang digunakan untuk menandatangani/memvalidasi token SAS.
  • SecondaryKey: Kunci kriptografi yang digunakan untuk menandatangani/memvalidasi token SAS.
  • Rights: Pengumpulan hak Dengar, Kirim, atau Kelola yang diberikan.

Aturan otorisasi yang dikonfigurasi di tingkat namespace dapat memberikan akses ke semua entitas di namespace layanan untuk klien dengan token yang ditandatangani melalui kunci yang sesuai. Anda dapat mengonfigurasi hingga 12 aturan otorisasi tersebut pada namespace, antrean, atau topik Bus Layanan. Secara default, aturan otorisasi akses bersama dengan semua hak dikonfigurasi untuk setiap namespace saat pertama kali disediakan.

Untuk mengakses entitas, klien memerlukan token SAS yang dihasilkan dari aturan otorisasi akses bersama tertentu dan tanda tangan HMAC-SHA256 string sumber daya. String sumber daya terdiri dari URI sumber daya tempat akses diklaim, dan kedaluwarsa dengan kunci kriptografi yang terkait dengan aturan otorisasi.

Konten terkait

Untuk informasi selengkapnya tentang menggunakan ID Microsoft Entra untuk autentikasi, lihat artikel berikut ini:

Untuk informasi selengkapnya tentang menggunakan SAS untuk autentikasi, lihat artikel berikut ini:

  • Last updated on