Ověřování a autorizace Service Bus

Existují dva způsoby, jak ověřit a autorizovat přístup k prostředkům služby Azure Service Bus:

  • Microsoft Entra ID
  • Sdílené přístupové podpisy (SAS).

Tento článek obsahuje podrobnosti o používání těchto dvou typů mechanismů zabezpečení.

Microsoft Entra ID

Integrace Microsoft Entra se službou Service Bus poskytuje řízení přístupu na základě role (RBAC) k prostředkům služby Service Bus. Pomocí Azure RBAC můžete udělit oprávnění k objektu zabezpečení, což může být uživatel, skupina, instanční objekt aplikace nebo spravovaná identita. Microsoft Entra ověří objekt zabezpečení a vrátí token OAuth 2.0. Tento token lze použít k autorizaci žádosti o přístup k prostředku služby Service Bus (fronta, téma a předplatné).

Další informace o ověřování pomocí Microsoft Entra ID najdete v následujících článcích:

Poznámka:

Rozhraní REST API služby Service Bus podporuje ověřování OAuth s ID Microsoft Entra.

Důležité

Autorizace uživatelů nebo aplikací pomocí tokenu OAuth 2.0 vráceného id Microsoft Entra poskytuje vynikající zabezpečení a snadné použití u sdílených přístupových podpisů (SAS). S ID Microsoft Entra není nutné ukládat tokeny do kódu a riskovat potenciální ohrožení zabezpečení. Pokud je to možné, doporučujeme používat s aplikacemi Azure Service Bus ID Microsoft Entra.

Pro obor názvů služby Service Bus můžete zakázat ověřování pomocí místního klíče nebo klíče SAS a povolit pouze ověřování Microsoft Entra. Podrobné pokyny najdete v tématu Zakázání místního ověřování.

Sdílený přístupový podpis

Ověřování SAS umožňuje udělit uživateli přístup k prostředkům služby Service Bus s konkrétními právy. Ověřování SAS ve službě Service Bus zahrnuje konfiguraci kryptografického klíče s přidruženými právy prostředku služby Service Bus. Klienti pak můžou získat přístup k danému prostředku tím, že předají token SAS, který se skládá z URI prostředku, ke kterému se přistupuje, a vypršení platnosti podepsaného pomocí nakonfigurovaného klíče.

Zásady sdíleného přístupu můžete nakonfigurovat v oboru názvů služby Service Bus. Klíč se vztahuje na všechny entity zasílání zpráv v rámci daného oboru názvů. Můžete také nakonfigurovat zásady sdíleného přístupu ve frontách a tématech služby Service Bus. Pokud chcete použít SAS, můžete nakonfigurovat pravidlo autorizace sdíleného přístupu v oboru názvů, frontě nebo tématu. Toto pravidlo se skládá z následujících prvků:

  • KeyName: identifikuje pravidlo.
  • PrimaryKey: kryptografický klíč používaný k podepisování a ověřování tokenů SAS.
  • SecondaryKey: kryptografický klíč používaný k podepisování a ověřování tokenů SAS.
  • Práva: představuje kolekci udělených práv Listen, Send nebo Manage .

Autorizační pravidla nakonfigurovaná na úrovni oboru názvů můžou udělit přístup ke všem entitám v oboru názvů pro klienty s tokeny podepsanými pomocí odpovídajícího klíče. V oboru názvů, frontě nebo tématu služby Service Bus můžete nakonfigurovat až 12 takových autorizačních pravidel. Ve výchozím nastavení je pravidlo autorizace sdíleného přístupu se všemi právy nakonfigurované pro každý obor názvů při prvním zřízení.

Pro přístup k entitě vyžaduje klient token SAS vygenerovaný pomocí konkrétního autorizačního pravidla sdíleného přístupu. Token SAS se vygeneruje pomocí HMAC-SHA256 řetězce prostředku, který se skládá z identifikátoru URI prostředku, ke kterému se přistupuje, a vypršení platnosti kryptografického klíče přidruženého k autorizačnímu pravidlu.

Podrobné informace o použití SAS k ověřování najdete v tématu Ověřování pomocí sdílených přístupových podpisů.

Další informace o ověřování pomocí Microsoft Entra ID najdete v následujících článcích:

Další informace o ověřování pomocí SAS najdete v následujících článcích: