Usare Microsoft Entra ID per l'autenticazione della cache
cache di Azure per Redis offre due metodi per l'autenticazione all'istanza della cache: chiavi di accesso e ID Microsoft Entra
Anche se l'autenticazione della chiave di accesso è semplice, presenta una serie di problemi relativi alla sicurezza e alla gestione delle password. In questo articolo si apprenderà invece come usare un token Microsoft Entra per l'autenticazione della cache.
cache di Azure per Redis offre un meccanismo di autenticazione senza password grazie all'integrazione con Microsoft Entra ID). Questa integrazione include anche funzionalità di controllo degli accessi in base al ruolo fornite tramite elenchi di controllo di accesso (ACL) supportati in Redis open source.
Per usare l'integrazione ACL, l'applicazione client deve presupporre l'identità di un'entità Microsoft Entra, ad esempio un'entità servizio o un'identità gestita, e connettersi alla cache. Questo articolo illustra come usare l'entità servizio o l'identità gestita per connettersi alla cache e come concedere le autorizzazioni predefinite di connessione in base all'artefatto Microsoft Entra usato per la connessione.
Ambito della disponibilità
Livello | Basic, Standard, Premium | Enterprise, Enterprise Flash |
---|---|---|
Disponibilità | Sì | No |
Prerequisiti e limitazioni
- L'autenticazione basata su ID Microsoft Entra è supportata per le connessioni SSL e TLS 1.2 o versione successiva.
- L'autenticazione basata su ID di Microsoft Entra non è supportata nelle istanze di cache di Azure per Redis che dipendono da Servizi cloud.
- L'autenticazione basata su ID Microsoft Entra non è supportata nei livelli Enterprise di cache di Azure per Redis Enterprise.
- Alcuni comandi Redis sono bloccati. Per un elenco completo dei comandi bloccati, vedere Comandi Redis non supportati in cache di Azure per Redis.
Importante
Una volta stabilita una connessione usando il token Microsoft Entra, le applicazioni client devono aggiornare periodicamente il token Microsoft Entra prima della scadenza e inviare un AUTH
comando al server Redis per evitare interruzioni delle connessioni. Per altre informazioni, vedere Configurare il client Redis per l'uso di Microsoft Entra ID.
Abilitare l'autenticazione di Microsoft Entra ID nella cache
Nella portale di Azure selezionare l'istanza di cache di Azure per Redis in cui si vuole configurare l'autenticazione basata su token di Microsoft Entra.
Selezionare Autenticazione dal menu Risorsa.
Nel riquadro di lavoro selezionare Abilita l'autenticazione di Microsoft Entra.
Selezionare Enable Microsoft Entra Authentication (Abilita autenticazione Di Microsoft Entra) e immettere il nome di un utente valido. All'utente immesso vengono assegnati automaticamente i criteri di accesso al proprietario dei dati per impostazione predefinita quando si seleziona Salva. È anche possibile immettere un'identità gestita o un'entità servizio per connettersi all'istanza della cache.
Viene visualizzata una finestra di dialogo popup in cui viene chiesto se si vuole aggiornare la configurazione e viene segnalato che l'operazione richiede qualche minuto. Selezionare Sì.
Importante
Al termine dell'operazione di abilitazione, i nodi nell'istanza della cache vengono riavviati per caricare la nuova configurazione. È consigliabile eseguire questa operazione durante la finestra di manutenzione o al di fuori dell'orario di ufficio di punta. L'operazione può richiedere fino a 30 minuti.
Per informazioni sull'uso di Microsoft Entra ID con l'interfaccia della riga di comando di Azure, vedere le pagine di riferimento per l'identità.
Uso della configurazione dell'accesso ai dati con la cache
Se si vuole usare un criterio di accesso personalizzato anziché il proprietario dei dati Redis, passare a Configurazione accesso ai dati dal menu Risorsa. Per altre informazioni, vedere Configurare criteri di accesso ai dati personalizzati per l'applicazione.
Nella portale di Azure selezionare l'istanza di cache di Azure per Redis in cui si vuole aggiungere alla configurazione di accesso ai dati.
Selezionare Configurazione accesso ai dati dal menu Risorsa.
Selezionare Aggiungi e scegliere Nuovo utente Redis.
Nella scheda Criteri di accesso selezionare uno dei criteri disponibili nella tabella Proprietario dati, Collaboratore dati o Lettore dati. Selezionare quindi Next:Redis Users (Utenti successivi:Redis).
Scegliere l'entità utente o l'entità servizio o l'identità gestita per determinare come assegnare l'accesso all'istanza di cache di Azure per Redis. Se si seleziona Utente o entità servizio e si vuole aggiungere un utente, è prima necessario abilitare Microsoft Entra Authentication.
Selezionare quindi Seleziona membri e selezionare Seleziona. Selezionare quindi Avanti: Rivedi e assegna.
In una finestra di dialogo viene visualizzato un popup che informa che l'aggiornamento è permanente e potrebbe causare una breve interruzione di connessione. Selezionare Sì.
Importante
Al termine dell'operazione di abilitazione, i nodi nell'istanza della cache vengono riavviati per caricare la nuova configurazione. È consigliabile eseguire questa operazione durante la finestra di manutenzione o al di fuori dell'orario di ufficio di punta. L'operazione può richiedere fino a 30 minuti.
Configurare il client Redis per l'uso di Microsoft Entra ID
Poiché la maggior parte dei client cache di Azure per Redis presuppone che venga usata una password e una chiave di accesso per l'autenticazione, è probabile che sia necessario aggiornare il flusso di lavoro client per supportare l'autenticazione usando Microsoft Entra ID. In questa sezione viene illustrato come configurare le applicazioni client per la connessione a cache di Azure per Redis usando un token Microsoft Entra.
Flusso di lavoro del client Microsoft Entra
Configurare l'applicazione client per acquisire un token Microsoft Entra per l'ambito
https://redis.azure.com/.default
oacca5fbb-b7e4-4009-81f1-37e38fd66d78/.default
, usando Microsoft Authentication Library (MSAL).Aggiornare la logica di connessione redis per usare quanto segue
User
ePassword
:User
= ID oggetto dell'identità gestita o dell'entità servizioPassword
= Token Microsoft Entra acquisito tramite MSAL
Assicurarsi che il client esegue automaticamente un comando Redis AUTH prima che il token Microsoft Entra scada usando:
User
= ID oggetto dell'identità gestita o dell'entità servizioPassword
= Token Di Microsoft Entra aggiornato periodicamente
Supporto della libreria client
La libreria Microsoft.Azure.StackExchangeRedis
è un'estensione di StackExchange.Redis
che consente di usare Microsoft Entra ID per autenticare le connessioni da un'applicazione client Redis a un cache di Azure per Redis. L'estensione gestisce il token di autenticazione, inclusi i token di aggiornamento proattivo prima della scadenza per mantenere le connessioni Redis persistenti in più giorni.
Questo esempio di codice illustra come usare il Microsoft.Azure.StackExchangeRedis
pacchetto NuGet per connettersi all'istanza di cache di Azure per Redis usando Microsoft Entra ID.
La tabella seguente include collegamenti a esempi di codice, che illustrano come connettersi all'istanza di cache di Azure per Redis usando un token Microsoft Entra. Un'ampia gamma di librerie client sono incluse in più lingue.
Libreria client | Lingua | Collegamento al codice di esempio |
---|---|---|
StackExchange.Redis | .NET | Esempio di codice StackExchange.Redis |
redis-py | Python | Esempio di codice redis-py |
Jedis | Java | Esempio di codice Jedis |
Lettuce | Java | Esempio di codice lattuga |
Redisson | Java | Esempio di codice Redisson |
ioredis | Node.js | Esempio di codice ioredis |
node-redis | Node.js | Esempio di codice node-redis |
Procedure consigliate per l'autenticazione di Microsoft Entra
Configurare collegamenti privati o regole del firewall per proteggere la cache da un attacco Denial of Service.
Assicurarsi che l'applicazione client invii un nuovo token Microsoft Entra almeno 3 minuti prima della scadenza del token per evitare interruzioni della connessione.
Quando si chiama periodicamente il comando del server
AUTH
Redis, è consigliabile aggiungere un instabilità in modo che iAUTH
comandi siano sfalsati e che il server Redis non riceva contemporaneamente moltiAUTH
comandi.
Contenuto correlato
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per