Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует два способа проверки подлинности и авторизации доступа к ресурсам Служебной шины Azure:
- Microsoft Entra ID
- Подписи общего доступа (SAS)
В этой статье подробно описывается использовании обоих механизмов безопасности.
Microsoft Entra ID
Интеграция Microsoft Entra с Служебной шиной обеспечивает управление доступом на основе ролей (RBAC) для ресурсов Служебной шины. Azure RBAC можно использовать для предоставления разрешений субъекту безопасности, которым может быть пользователь, группа, служебный принципал приложения или управляемое удостоверение. Microsoft Entra проверяет подлинность субъекта безопасности и возвращает маркер OAuth 2.0. Этот токен можно использовать для авторизации запроса на доступ к ресурсу Service Bus (очередь, тема и подписка).
Дополнительные сведения о проверке подлинности с помощью идентификатора Microsoft Entra см. в следующих статьях:
Примечание.
служебная шина REST API поддерживает проверку подлинности OAuth с идентификатором Microsoft Entra.
Внимание
Авторизация пользователей или приложений с помощью токена OAuth 2.0, возвращаемого службой Microsoft Entra ID, обеспечивает более высокую безопасность и удобство использования, чем подписи с общим доступом (SAS). С Microsoft Entra ID нет необходимости хранить токены в коде, что снижает риск потенциальных уязвимостей безопасности. Мы рекомендуем использовать идентификатор Microsoft Entra ID с вашими приложениями Azure Service Bus, когда это возможно.
Вы можете отключить локальную или аутентификацию SAS для пространства имен служебной шины и разрешить только аутентификацию Microsoft Entra. Пошаговые инструкции см. в разделе Отключение локальной проверки подлинности.
Подписанный ключ доступа
Проверка подлинности SAS позволяет предоставлять пользователю доступ к ресурсам служебной шины с определенными правами. Проверка подлинности SAS в служебной шине предусматривает настройку соответствующих прав для криптографического ключа в ресурсе служебной шины. Затем клиенты могут получить доступ к этому ресурсу. Для этого им нужно предоставить маркер SAS, который состоит из универсального кода ресурса (URI) данного ресурса, а также указать срок действия, подписанный с использованием настроенного ключа.
Политики общего доступа можно настроить в пространстве имен Service Bus. Ключ применяется ко всем сущностям обмена сообщениями в пределах этого пространства имен. Вы также можете настроить политики общего доступа для очередей и топиков Service Bus. Чтобы использовать SAS, в пространстве имен, очереди или разделе можно настроить правило авторизации общего доступа. Это правило состоит из трех элементов:
- KeyName — определяет правило.
- PrimaryKey — криптографический ключ, используемый для подписи и проверки маркеров SAS.
- SecondaryKey — криптографический ключ, используемый для подписи и проверки маркеров SAS.
- Rights — набор прав Listen (Прослушивание), Send (Отправка) или Manage (Управление).
Правила авторизации, настроенные на уровне пространства имен, могут предоставлять доступ ко всем сущностям в пространстве имен для клиентов с маркерами, подписанными с использованием соответствующего ключа. В пространстве имен, очереди или разделе служебной шины можно настроить до 12 таких правил авторизации. По умолчанию правило авторизации общего доступа со всеми правами настраивается для каждого пространства имен при его первом создании.
Чтобы получить доступ к сущности, клиенту требуется маркер SAS, созданный с помощью определенного правила авторизации общего доступа. Маркер SAS генерируется с использованием HMAC-SHA256 строки ресурса. Эта строка включает в себя URI ресурса, к которому запрашивается доступ, и время истечения, связанное с криптографическим ключом, который привязан к правилу авторизации.
Подробные сведения об использовании SAS для проверки подлинности см. в "Проверка подлинности с помощью подписей общего доступа".
Связанный контент
Дополнительные сведения о проверке подлинности с помощью идентификатора Microsoft Entra см. в следующих статьях:
Дополнительные сведения о проверке подлинности с использованием SAS приводятся в следующих статьях: