Проверка подлинности в Службах коммуникации Azure
Все взаимодействия клиента со Службами коммуникации Azure должны пройти проверку подлинности. В типичной архитектуре см . архитектуру клиента и сервера, ключи доступа или проверку подлинности Microsoft Entra для проверки подлинности на стороне сервера.
Другой тип проверки подлинности использует маркеры доступа пользователя для проверки подлинности в службах, требующих участия пользователя. Например, чат или вызывающая служба использует маркеры доступа пользователей, чтобы разрешить пользователям добавлять друг друга в беседу и обмениваться сообщениями.
Параметры аутентификации
В приведенной ниже таблице показаны пакеты SDK Служб коммуникации Azure и их параметры проверки подлинности.
| SDK | Параметр проверки подлинности |
|---|---|
| Идентификация | Ключ доступа или проверка подлинности Microsoft Entra |
| SMS | Ключ доступа или проверка подлинности Microsoft Entra |
| Номера телефонов | Ключ доступа или проверка подлинности Microsoft Entra |
| Сообщение электронной почты | Ключ доступа или проверка подлинности Microsoft Entra |
| Расширенное обмен сообщениями | Ключ доступа или проверка подлинности Microsoft Entra |
| Совершение вызовов | Маркер доступа пользователя |
| Чат | Маркер доступа пользователя |
Ниже кратко описан каждый метод авторизации.
Ключ доступа
Проверка подлинности с помощью ключа доступа подходит для служебных приложений, работающих в среде доверенной службы. Ключ доступа можно найти на портале Служб коммуникации Azure. Служебное приложение использует ключ в качестве учетных данных для инициализации соответствующих пакетов SDK. Пример использования см. в разделе Пакет SDK для удостоверений.
Так как ключ доступа является частью строки подключения ресурса, проверка подлинности с помощью строки подключения эквивалентна проверке подлинности с ключом доступа.
Если вы хотите вызвать API-интерфейсы Службы коммуникации Azure вручную с помощью ключа доступа, вам потребуется подписать запрос. Подписывание запроса подробно описано в руководстве.
Чтобы настроить субъект-службу, создайте зарегистрированное приложение из Azure CLI. Затем можно использовать конечную точку и учетные данные для проверки подлинности пакетов SDK. См. примеры использования субъекта-службы .
Службы коммуникации поддерживают проверку подлинности идентификатора Microsoft Entra для ресурсов служб коммуникации. Дополнительные сведения о поддержке управляемых удостоверений см. в разделе "Использование управляемого удостоверения с Службы коммуникации Azure".
Проверка подлинности идентификатора Microsoft Entra
Платформа Azure предоставляет доступ на основе ролей (Azure RBAC) для управления доступом к ресурсам. Субъект безопасности Azure RBAC представляет пользователя, группу, субъект-службу или управляемое удостоверение, запрашивающее доступ к ресурсам Azure. Проверка подлинности Идентификатора Microsoft Entra обеспечивает более высокую безопасность и удобство использования по сравнению с другими параметрами авторизации.
Управляемое удостоверение:
- Используя управляемое удостоверение, не следует хранить ключ доступа к учетной записи в коде, как и авторизация ключа доступа. Учетные данные управляемого удостоверения полностью управляются, поворачиваются и защищаются платформой, что снижает риск воздействия учетных данных.
- Управляемые удостоверения могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Идентификатора Microsoft Entra. Этот метод обеспечивает простой и безопасный способ управления учетными данными.
- Дополнительные сведения об использовании управляемого удостоверения с Службы коммуникации Azure см. в этом руководстве.
Субъект-служба:
- Чтобы настроить субъект-службу , создайте зарегистрированное приложение из Azure CLI. Затем можно использовать конечную точку и учетные данные для проверки подлинности пакетов SDK.
- См. примеры использования субъекта-службы .
Службы коммуникации поддерживают проверку подлинности идентификатора Microsoft Entra для ресурсов служб коммуникации, хотя вы можете продолжать использовать авторизацию ключа доступа с приложениями служб коммуникации, корпорация Майкрософт рекомендует перейти на идентификатор Microsoft Entra, где это возможно.
Используйте пример героя службы доверенной проверки подлинности, чтобы сопоставить маркеры доступа Службы коммуникации Azure с идентификатором Microsoft Entra.
маркеры доступа пользователей
Маркеры доступа пользователя создаются с помощью пакета SDK удостоверений и связываются с пользователями, созданными в пакете SDK удостоверений. См. пример создания пользователей и маркеров. Затем маркеры доступа пользователя используются для проверки подлинности участников, добавленных в беседы в чате или при вызове пакета SDK. Дополнительные сведения см. в разделе о добавлении чата в приложение. Проверка подлинности маркера доступа пользователей отличается от ключа доступа и проверки подлинности Microsoft Entra в том, что она используется для проверки подлинности пользователя, а не защищенного ресурса Azure.
Использование удостоверения для мониторинга и метрик
Удостоверение пользователя предназначено для работы в качестве первичного ключа для журналов и метрик, собранных с помощью Azure Monitor. Если вы хотите просмотреть все вызовы конкретного пользователя, например, необходимо настроить проверку подлинности таким образом, чтобы сопоставить определенное Службы коммуникации Azure удостоверение (или удостоверения) с единственным пользователем. Дополнительные сведения о log analytics и доступных метриках .
Следующие шаги
Дополнительные сведения см. в следующих статьях: