Použití Microsoft Entra pro ověřování mezipaměti

  • Článek

Azure Cache for Redis nabízí dvě metody ověřování v instanci mezipaměti: přístupové klíče a Microsoft Entra.

I když je ověřování přístupového klíče jednoduché, přináší to řadu problémů souvisejících se správou zabezpečení a hesel. Naproti tomu v tomto článku se dozvíte, jak používat token Microsoft Entra pro ověřování mezipaměti.

Azure Cache for Redis nabízí mechanismus ověřování bez hesla díky integraci s Microsoft Entra. Tato integrace zahrnuje také funkce řízení přístupu na základě role poskytované prostřednictvím seznamů řízení přístupu (ACL) podporovaných v opensourcových redisech.

Aby bylo možné použít integraci seznamu ACL, musí klientská aplikace předpokládat identitu entity Microsoft Entra, jako je instanční objekt nebo spravovaná identita, a připojit se k mezipaměti. V tomto článku se dozvíte, jak se pomocí instančního objektu nebo spravované identity připojit k mezipaměti. Dozvíte se také, jak udělit předdefinovaná oprávnění připojení na základě artefaktu Microsoft Entra, který se používá pro připojení.

Rozsah dostupnosti

Úroveň Basic, Standard a Premium Enterprise, Enterprise Flash
Dostupnost Yes No

Předpoklady a omezení

  • Ověřování Microsoft Entra je podporováno pro připojení SSL a TLS 1.2 nebo vyšší.
  • Ověřování Microsoft Entra se v instancích Azure Cache for Redis, které závisí na Azure Cloud Services, nepodporuje.
  • Ověřování Microsoft Entra není podporováno na úrovních Enterprise služby Azure Cache for Redis Enterprise.
  • Některé příkazy Redis jsou blokované. Úplný seznam blokovaných příkazů najdete v tématu Příkazy Redis, které azure Cache for Redis nepodporuje.

Důležité

Po navázání připojení pomocí tokenu Microsoft Entra musí klientské aplikace před vypršením platnosti pravidelně aktualizovat token Microsoft Entra. Aplikace pak musí odeslat AUTH příkaz na server Redis, aby nedošlo k narušení připojení. Další informace naleznete v tématu Konfigurace klienta Redis pro použití Microsoft Entra.

Povolení ověřování Microsoft Entra v mezipaměti

  1. Na webu Azure Portal vyberte instanci Azure Cache for Redis, ve které chcete nakonfigurovat ověřování založené na tokenech Microsoft Entra.

  2. V nabídce Prostředek vyberte Ověřování.

  3. V pracovním podokně vyberte kartu Ověřování Microsoft Entra.

  4. Vyberte Povolit ověřování Microsoft Entra a zadejte jméno platného uživatele. Uživatel, který zadáte, se automaticky přiřadí zásadám přístupu vlastníka dat ve výchozím nastavení, když vyberete Uložit. Můžete také zadat spravovanou identitu nebo instanční objekt pro připojení k instanci mezipaměti.

    Snímek obrazovky znázorňující ověřování vybrané v nabídce prostředků a zaškrtávací políčko Povolit ověřování Microsoft Entra

  5. Automaticky otevírané dialogové okno se zeptá, jestli chcete aktualizovat konfiguraci, a informuje vás, že to trvá několik minut. Vyberte Ano.

    Důležité

    Po dokončení operace povolení se uzly v instanci mezipaměti restartují, aby se načetla nová konfigurace. Tuto operaci doporučujeme provést během časového období údržby nebo mimo špičku pracovní doby. Operace může trvat až 30 minut.

Informace o tom, jak používat Microsoft Entra s Azure CLI, najdete na referenčních stránkách pro identitu.

Zakázání ověřování přístupového klíče v mezipaměti

Použití Microsoft Entra je bezpečný způsob, jak připojit mezipaměť. Doporučujeme používat Microsoft Entra a zakázat přístupové klíče.

Když zakážete ověřování pomocí přístupového klíče pro mezipaměť, ukončí se všechna stávající klientská připojení bez ohledu na to, jestli používají přístupové klíče nebo ověřování Microsoft Entra. Pokud existuje, postupujte podle doporučených osvědčených postupů klienta Redis a implementujte správné mechanismy opakování pro opětovné připojení založené na Microsoft Entra.

Než zakážete přístupové klíče:

  • Ujistěte se, že je povolené ověřování Microsoft Entra a máte nakonfigurovaného aspoň jednoho uživatele Redis.

  • Zajistěte, aby se všechny aplikace připojující k instanci mezipaměti přepnuly na použití ověřování Microsoft Entra.

  • Ujistěte se, že metriky Připojené klienty a připojené klienty používající token Microsoft Entra mají stejné hodnoty. Pokud hodnoty pro tyto dvě metriky nejsou stejné, znamená to, že stále existují nějaká připojení vytvořená pomocí přístupových klíčů, a ne Entra Token.

  • Zvažte zakázání přístupu během časového období plánované údržby instance mezipaměti.

  • Zakázání přístupových klíčů je k dispozici pouze pro mezipaměti úrovně Basic, Standard a Premium.

  • U geograficky replikovaných mezipamětí musíte:

    1. Zrušte propojení mezipamětí.
    2. Zakázání přístupových klíčů
    3. Znovu propojte mezipaměti.

Pokud máte mezipaměť, ve které se používají přístupové klíče a chcete přístupové klíče zakázat, postupujte takto:

  1. Na webu Azure Portal vyberte instanci Azure Cache for Redis, ve které chcete zakázat přístupové klíče.

  2. V nabídce Prostředek vyberte Ověřování.

  3. V pracovním podokně vyberte Přístupové klávesy.

  4. Vyberte Zakázat ověřování přístupových klíčů. Potom vyberte Uložit.

    Snímek obrazovky zobrazující přístupové klíče v pracovním podokně se zaškrtávacím zaškrtávacím políčka Zakázat ověřování přístupových klíčů

  5. Potvrďte, že chcete aktualizovat konfiguraci výběrem možnosti Ano.

Důležité

Když se pro mezipaměť změní nastavení Zakázat ověřování přístupových klíčů, ukončí se všechna stávající klientská připojení pomocí přístupových klíčů nebo Microsoft Entra. Postupujte podle osvědčených postupů a implementujte správné mechanismy opakování pro opětovné připojení na základě Microsoft Entra. Další informace najdete v tématu Odolnost připojení.

Použití konfigurace přístupu k datům s mezipamětí

Pokud chcete místo vlastníka dat Redis použít vlastní zásady přístupu, přejděte v nabídce Prostředek do konfigurace přístupu k datům. Další informace najdete v tématu Konfigurace vlastních zásad přístupu k datům pro vaši aplikaci.

  1. Na webu Azure Portal vyberte instanci Azure Cache for Redis, do které chcete přidat konfiguraci přístupu k datům.

  2. V nabídce Prostředek vyberte Konfigurace přístupu k datům.

  3. Vyberte Přidat a pak vyberte Nový uživatel Redis.

  4. Na kartě Zásady přístupu vyberte jednu z dostupných zásad v tabulce: Vlastník dat, Přispěvatel dat nebo Čtenář dat. Pak vyberte Další: Uživatelé Redis.

    Snímek obrazovky zobrazující dostupné zásady přístupu

  5. Zvolte uživatele nebo instanční objekt nebo spravovanou identitu a určete, jak přiřadit přístup k instanci Azure Cache for Redis. Pokud vyberete uživatele nebo instanční objekt a chcete přidat uživatele, musíte nejprve povolit ověřování Microsoft Entra.

  6. Pak zvolte Vybrat členy a zvolte Vybrat. Pak vyberte Další: Zkontrolovat a přiřadit.

    Snímek obrazovky zobrazující členy, které chcete přidat jako nové uživatele Redis

  7. Automaticky otevírané dialogové okno vás upozorní, že upgrade je trvalý a může způsobit krátkou tečku připojení. Vyberte Ano.

    Důležité

    Po dokončení operace povolení se uzly v instanci mezipaměti restartují, aby se načetla nová konfigurace. Tuto operaci doporučujeme provést během časového období údržby nebo mimo špičku pracovní doby. Operace může trvat až 30 minut.

Konfigurace klienta Redis tak, aby používal Microsoft Entra

Vzhledem k tomu, že většina klientů Azure Cache for Redis předpokládá, že k ověřování se používá heslo a přístupový klíč, budete pravděpodobně muset aktualizovat pracovní postup klienta tak, aby podporoval ověřování pomocí Microsoft Entra. V této části se dozvíte, jak nakonfigurovat klientské aplikace pro připojení ke službě Azure Cache for Redis pomocí tokenu Microsoft Entra.

Pracovní postup klienta Microsoft Entra

  1. Nakonfigurujte klientskou aplikaci tak, aby získala token Microsoft Entra pro obor nebo https://redis.azure.com/.default acca5fbb-b7e4-4009-81f1-37e38fd66d78/.defaultpomocí knihovny MSAL (Microsoft Authentication Library).

  2. Aktualizujte logiku připojení Redis tak, aby používala následujícíUser:Password

    • User = ID objektu vaší spravované identity nebo instančního objektu
    • Password = Token Microsoft Entra, který jste získali pomocí knihovny MSAL

  3. Před vypršením platnosti tokenu Microsoft Entra pomocí příkazu Redis AUTH se ujistěte, že váš klient automaticky spustí příkaz Redis AUTH:

    • User = ID objektu vaší spravované identity nebo instančního objektu
    • Password = Pravidelně aktualizován token Microsoft Entra

Podpora klientské knihovny

Knihovna Microsoft.Azure.StackExchangeRedis je rozšíření StackExchange.Redis , které umožňuje používat Microsoft Entra k ověřování připojení z klientské aplikace Redis ke službě Azure Cache for Redis. Rozšíření spravuje ověřovací token, včetně proaktivně obnovovacích tokenů před vypršením jejich platnosti, aby se zachovala trvalá připojení Redis za několik dnů.

Tento ukázkový kód ukazuje, jak se pomocí Microsoft.Azure.StackExchangeRedis balíčku NuGet připojit k instanci Azure Cache for Redis pomocí Microsoft Entra.

Následující tabulka obsahuje odkazy na ukázky kódu. Ukazují, jak se připojit k instanci Azure Cache for Redis pomocí tokenu Microsoft Entra. Různé klientské knihovny jsou součástí více jazyků.

Klientská knihovna Jazyk Odkaz na ukázkový kód
StackExchange.Redis .NET Ukázka kódu StackExchange.Redis
redis-py Python Ukázka kódu redis-py
Jedis Java Ukázka kódu Jedis
Lettuce Java Ukázka kódu salátu
Redisson Java Ukázka kódu Redisson
ioredis Node.js Ukázka kódu ioredis
node-redis Node.js Ukázka kódu node-redis

Osvědčené postupy pro ověřování Microsoft Entra

  • Nakonfigurujte privátní propojení nebo pravidla brány firewall pro ochranu vaší mezipaměti před útokem na dostupnost služby.
  • Ujistěte se, že klientská aplikace odešle nový token Microsoft Entra alespoň tři minuty před vypršením platnosti tokenu, aby nedošlo k přerušení připojení.
  • Při pravidelném volání příkazu serveru AUTH Redis zvažte přidání náhodného zpoždění, aby AUTH se příkazy zasekly. Server Redis tímto způsobem nepřijímá příliš mnoho AUTH příkazů najednou.

Související obsah