Поделиться через


Проверка подлинности в Службах коммуникации Azure

Все взаимодействия клиента со Службами коммуникации Azure должны пройти проверку подлинности. В типичной архитектуре см . архитектуру клиента и сервера, ключи доступа или проверку подлинности Microsoft Entra для проверки подлинности на стороне сервера.

Другой тип проверки подлинности использует маркеры доступа пользователя для проверки подлинности в службах, требующих участия пользователя. Например, чат или вызывающая служба использует маркеры доступа пользователей, чтобы разрешить пользователям добавлять друг друга в беседу и обмениваться сообщениями.

Параметры аутентификации

В приведенной ниже таблице показаны пакеты SDK Служб коммуникации Azure и их параметры проверки подлинности.

SDK Параметр проверки подлинности
Идентификация Ключ доступа или проверка подлинности Microsoft Entra
SMS Ключ доступа или проверка подлинности Microsoft Entra
Номера телефонов Ключ доступа или проверка подлинности Microsoft Entra
Сообщение электронной почты Ключ доступа или проверка подлинности Microsoft Entra
Расширенное обмен сообщениями Ключ доступа или проверка подлинности Microsoft Entra
Совершение вызовов Маркер доступа пользователя
Чат Маркер доступа пользователя

Ниже кратко описан каждый метод авторизации.

Ключ доступа

Проверка подлинности с помощью ключа доступа подходит для служебных приложений, работающих в среде доверенной службы. Ключ доступа можно найти на портале Служб коммуникации Azure. Служебное приложение использует ключ в качестве учетных данных для инициализации соответствующих пакетов SDK. Пример использования см. в разделе Пакет SDK для удостоверений.

Так как ключ доступа является частью строки подключения ресурса, проверка подлинности с помощью строки подключения эквивалентна проверке подлинности с ключом доступа.

Если вы хотите вызвать API-интерфейсы Службы коммуникации Azure вручную с помощью ключа доступа, вам потребуется подписать запрос. Подписывание запроса подробно описано в руководстве.

Чтобы настроить субъект-службу, создайте зарегистрированное приложение из Azure CLI. Затем можно использовать конечную точку и учетные данные для проверки подлинности пакетов SDK. См. примеры использования субъекта-службы .

Службы коммуникации поддерживают проверку подлинности идентификатора Microsoft Entra для ресурсов служб коммуникации. Дополнительные сведения о поддержке управляемых удостоверений см. в разделе "Использование управляемого удостоверения с Службы коммуникации Azure".

Проверка подлинности идентификатора Microsoft Entra

Платформа Azure предоставляет доступ на основе ролей (Azure RBAC) для управления доступом к ресурсам. Субъект безопасности Azure RBAC представляет пользователя, группу, субъект-службу или управляемое удостоверение, запрашивающее доступ к ресурсам Azure. Проверка подлинности Идентификатора Microsoft Entra обеспечивает более высокую безопасность и удобство использования по сравнению с другими параметрами авторизации.

  • Управляемое удостоверение:

    • Используя управляемое удостоверение, не следует хранить ключ доступа к учетной записи в коде, как и авторизация ключа доступа. Учетные данные управляемого удостоверения полностью управляются, поворачиваются и защищаются платформой, что снижает риск воздействия учетных данных.
    • Управляемые удостоверения могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Идентификатора Microsoft Entra. Этот метод обеспечивает простой и безопасный способ управления учетными данными.
    • Дополнительные сведения об использовании управляемого удостоверения с Службы коммуникации Azure см. в этом руководстве.
  • Субъект-служба:

Службы коммуникации поддерживают проверку подлинности идентификатора Microsoft Entra для ресурсов служб коммуникации, хотя вы можете продолжать использовать авторизацию ключа доступа с приложениями служб коммуникации, корпорация Майкрософт рекомендует перейти на идентификатор Microsoft Entra, где это возможно.

Используйте пример героя службы доверенной проверки подлинности, чтобы сопоставить маркеры доступа Службы коммуникации Azure с идентификатором Microsoft Entra.

маркеры доступа пользователей

Маркеры доступа пользователя создаются с помощью пакета SDK удостоверений и связываются с пользователями, созданными в пакете SDK удостоверений. См. пример создания пользователей и маркеров. Затем маркеры доступа пользователя используются для проверки подлинности участников, добавленных в беседы в чате или при вызове пакета SDK. Дополнительные сведения см. в разделе о добавлении чата в приложение. Проверка подлинности маркера доступа пользователей отличается от ключа доступа и проверки подлинности Microsoft Entra в том, что она используется для проверки подлинности пользователя, а не защищенного ресурса Azure.

Использование удостоверения для мониторинга и метрик

Удостоверение пользователя предназначено для работы в качестве первичного ключа для журналов и метрик, собранных с помощью Azure Monitor. Если вы хотите просмотреть все вызовы конкретного пользователя, например, необходимо настроить проверку подлинности таким образом, чтобы сопоставить определенное Службы коммуникации Azure удостоверение (или удостоверения) с единственным пользователем. Дополнительные сведения о log analytics и доступных метриках .

Следующие шаги

Дополнительные сведения см. в следующих статьях: