Zabezpieczenia usługi Notification Hubs

  • Artykuł

Omówienie

W tym temacie opisano model zabezpieczeń usługi Azure Notification Hubs.

Zabezpieczenia sygnatury dostępu współdzielonego

Usługa Notification Hubs implementuje schemat zabezpieczeń na poziomie jednostki nazywany sygnaturą dostępu współdzielonego (SAS). Każda reguła zawiera nazwę, wartość klucza (wspólny wpis tajny) i zestaw praw, zgodnie z opisem w dalszej części artykułu Oświadczenia zabezpieczeń.

Podczas tworzenia centrum tworzone są dwie reguły: jedna z prawami nasłuchiwania (używana przez aplikację kliencką) i jedną z wszystkimi prawami (których używa zaplecze aplikacji):

  • DefaultListenSharedAccessSignature: przyznaje tylko uprawnienie Nasłuchiwanie .
  • DefaultFullSharedAccessSignature: przyznaje uprawnienia Nasłuchiwanie, Zarządzanie i Wysyłanie . Te zasady mają być używane tylko w zapleczu aplikacji. Nie używaj go w aplikacjach klienckich; użyj zasad z dostępem tylko do nasłuchiwania . Aby utworzyć nowe niestandardowe zasady dostępu przy użyciu nowego tokenu SAS, zobacz Tokeny SAS dla zasad dostępu w dalszej części tego artykułu.

W przypadku zarządzania rejestracją z aplikacji klienckich, jeśli informacje wysyłane za pośrednictwem powiadomień nie są poufne (na przykład aktualizacje pogody), typowym sposobem uzyskiwania dostępu do centrum powiadomień jest nadanie wartości klucza reguły Dostęp tylko do nasłuchiwania do aplikacji klienckiej oraz zapewnienie wartości klucza reguły pełnego dostępu do zaplecza aplikacji.

Aplikacje nie powinny osadzać wartości klucza w aplikacjach klienckich Ze Sklepu Windows; Zamiast tego aplikacja kliencka pobierze ją z zaplecza aplikacji podczas uruchamiania.

Klucz z dostępem do nasłuchiwania umożliwia aplikacji klienckiej rejestrowanie dla dowolnego tagu. Jeśli aplikacja musi ograniczyć rejestracje do określonych tagów określonych klientów (na przykład gdy tagi reprezentują identyfikatory użytkowników), zaplecze aplikacji musi wykonać rejestrację. Aby uzyskać więcej informacji, zobacz Zarządzanie rejestracją. Należy pamiętać, że w ten sposób aplikacja kliencka nie będzie miała bezpośredniego dostępu do usługi Notification Hubs.

Oświadczenia zabezpieczeń

Podobnie jak w przypadku innych jednostek, operacje usługi Notification Hub są dozwolone dla trzech oświadczeń zabezpieczeń: Nasłuchiwanie, Wysyłanie i Zarządzanie.

Claim Opis Dozwolone operacje
Nasłuchiwanie Tworzenie/aktualizowanie, odczyt i usuwanie rejestracji jednokrotnych Tworzenie/aktualizowanie rejestracji

Odczyt rejestracji

Odczytywanie wszystkich rejestracji dla dojścia

Usuwanie rejestracji
Wysyłanie Wysyłanie komunikatów do centrum powiadomień Wyślij wiadomość
Zarządzanie Operacje CRUD w usłudze Notification Hubs (w tym aktualizowanie poświadczeń systemu powiadomień i kluczy zabezpieczeń) i odczytywanie rejestracji na podstawie tagów Tworzenie/aktualizowanie/odczyt/usuwanie centrów

Odczytywanie rejestracji według tagu

Usługa Notification Hubs akceptuje tokeny SAS wygenerowane przy użyciu kluczy udostępnionych skonfigurowanych bezpośrednio w centrum.

Nie można wysłać powiadomienia do więcej niż jednej przestrzeni nazw. Przestrzenie nazw to logiczne kontenery dla usługi Notification Hubs i nie są zaangażowane w wysyłanie powiadomień.

Użyj zasad dostępu na poziomie przestrzeni nazw (poświadczeń) dla operacji na poziomie przestrzeni nazw; na przykład: wyświetlanie listy centrów, tworzenie lub usuwanie centrów itp. Tylko zasady dostępu na poziomie centrum umożliwiają wysyłanie powiadomień.

Tokeny SAS dla zasad dostępu

Aby utworzyć nowe oświadczenie zabezpieczeń lub wyświetlić istniejące klucze SAS, wykonaj następujące czynności:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz pozycję Wszystkie zasoby.
  3. Wybierz nazwę centrum powiadomień, dla którego chcesz utworzyć oświadczenie, lub wyświetl klucz SYGNATURy dostępu współdzielonego.
  4. W menu po lewej stronie wybierz pozycję Zasady dostępu.
  5. Wybierz pozycję Nowe zasady , aby utworzyć nowe oświadczenie zabezpieczeń. Nadaj zasadom nazwę i wybierz uprawnienia, które chcesz przyznać. Następnie wybierz przycisk OK.
  6. Pełne parametry połączenia (w tym nowy klucz SAS) są wyświetlane w oknie Zasady dostępu. Możesz skopiować ten ciąg do schowka do późniejszego użycia.

Aby wyodrębnić klucz SYGNATURy dostępu współdzielonego z określonych zasad, wybierz przycisk Kopiuj obok zasad zawierających żądany klucz SYGNATURy dostępu współdzielonego. Wklej tę wartość do lokalizacji tymczasowej, a następnie skopiuj część klucza sygnatury dostępu współdzielonego parametrów połączenia. W tym przykładzie użyto przestrzeni nazw usługi Notification Hubs o nazwie mytestnamespace1 i zasad o nazwie policy2. Klucz sygnatury dostępu współdzielonego jest wartością w pobliżu końca ciągu określonego przez wartość SharedAccessKey:

Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>

Uzyskiwanie kluczy sygnatury dostępu współdzielonego

Następne kroki