Aracılığıyla paylaş

Notification Hubs güvenliği

  • Makale

Genel bakış

Bu konu başlığında Azure Notification Hubs'ın güvenlik modeli açıklanmaktadır.

Paylaşılan Erişim İmzası güvenliği

Notification Hubs, Paylaşılan Erişim İmzası (SAS) adlı varlık düzeyinde bir güvenlik şeması uygular. Her kural bir ad, anahtar değeri (paylaşılan gizli dizi) ve daha sonra Güvenlik talepleri bölümünde açıklandığı gibi bir hak kümesi içerir.

Hub oluştururken otomatik olarak iki kural oluşturulur: biri Dinleme haklarına (istemci uygulamasının kullandığı) ve biri de tüm haklara (uygulama arka ucu tarafından kullanılan) sahip:

  • DefaultListenSharedAccessSignature: yalnızca Dinleme izni verir.
  • DefaultFullSharedAccessSignature: Dinleme, Yönetme ve Gönderme izinleri verir. Bu ilke yalnızca uygulama arka ucunuzda kullanılacaktır. İstemci uygulamalarında kullanmayın; yalnızca Dinleme erişimi olan bir ilke kullanın. Yeni bir SAS belirteci ile yeni bir özel erişim ilkesi oluşturmak için bu makalenin devamında yer alan erişim ilkeleri için SAS belirteçleri bölümüne bakın.

İstemci uygulamalarından kayıt yönetimi gerçekleştirirken, bildirimler aracılığıyla gönderilen bilgiler hassas değilse (örneğin, hava durumu güncelleştirmeleri), Bildirim Hub'ına erişmenin yaygın yollarından biri, kuralın anahtar değerini istemci uygulamasına yalnızca dinleme erişimi vermek ve kuralın anahtar değerini uygulama arka ucuna tam erişim vermektir.

Uygulamalar Windows Mağazası istemci uygulamalarına anahtar değerini eklememelidir; bunun yerine istemci uygulamasının uygulamayı başlangıçtaki uygulama arka ucundan almasını sağlayın.

Dinleme erişimi olan anahtar, bir istemci uygulamasının herhangi bir etikete kaydolmasını sağlar. Uygulamanızın kayıtları belirli etiketlerle belirli istemcilerle kısıtlaması gerekiyorsa (örneğin, etiketler kullanıcı kimliklerini temsil ettiğinde), uygulama arka ucu kayıtları gerçekleştirmelidir. Daha fazla bilgi için bkz . Kayıt yönetimi. Bu şekilde istemci uygulamasının Notification Hubs'a doğrudan erişimi olmayacaktır.

Güvenlik talepleri

Diğer varlıklara benzer şekilde, Üç güvenlik talebi için Notification Hub işlemlerine izin verilir: Dinleme, Gönderme ve Yönetme.

Talep Açıklama İzin verilen işlemler
Dinle Tek kayıtları oluşturma/güncelleştirme, okuma ve silme Kayıt oluşturma/güncelleştirme

Kayıt okuma

Tanıtıcı için tüm kayıtları okuma

Kaydı sil
Gönder Bildirim Hub'ına ileti gönderme İleti gönder
Yönetme Notification Hubs'da CRUD'lar (PNS kimlik bilgilerini ve güvenlik anahtarlarını güncelleştirme dahil) ve etiketlere göre kayıtları okuma Hub oluşturma/güncelleştirme/okuma/silme hub'ları

Kayıtları etikete göre okuma

Notification Hubs, doğrudan hub'da yapılandırılmış paylaşılan anahtarlarla oluşturulan SAS belirteçlerini kabul eder.

Birden fazla ad alanına bildirim göndermek mümkün değildir. Ad alanları Notification Hubs için mantıksal kapsayıcılardır ve bildirim göndermeye dahil değildir.

Ad alanı düzeyinde işlemler için ad alanı düzeyinde erişim ilkelerini (kimlik bilgileri) kullanın; örneğin: hub'ları listeleme, hub oluşturma veya silme vb. Yalnızca hub düzeyinde erişim ilkeleri bildirim göndermenize olanak sağlar.

Erişim ilkeleri için SAS belirteçleri

Yeni bir güvenlik talebi oluşturmak veya mevcut SAS anahtarlarını görüntülemek için aşağıdakileri yapın:

  1. Azure Portal’ında oturum açın.
  2. Tüm kaynaklar'ı seçin.
  3. Talebi oluşturmak veya SAS anahtarını görüntülemek istediğiniz Bildirim Hub'ının adını seçin.
  4. Sol taraftaki menüde Erişim İlkeleri'ni seçin.
  5. Yeni bir güvenlik talebi oluşturmak için Yeni İlke'yi seçin. İlkeye bir ad verin ve vermek istediğiniz izinleri seçin. Ardından Tamam'ı seçin.
  6. Tam bağlantı dizesi (yeni SAS anahtarı dahil) Erişim İlkeleri penceresinde görüntülenir. Bu dizeyi daha sonra kullanmak üzere panoya kopyalayabilirsiniz.

Sas anahtarını belirli bir ilkeden ayıklamak için, istediğiniz SAS anahtarını içeren ilkenin yanındaki Kopyala düğmesini seçin. Bu değeri geçici bir konuma yapıştırın ve ardından bağlantı dizesi SAS anahtarı bölümünü kopyalayın. Bu örnekte, mytestnamespace1 adlı bir Notification Hubs ad alanı ve policy2 adlı bir ilke kullanılır. SAS anahtarı, dizenin sonuna yakın olan ve SharedAccessKey tarafından belirtilen değerdir:

Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>

SAS anahtarlarını alma

Sonraki adımlar