Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Проверка подлинности удостоверяет личность субъекта безопасности — пользователя, группы, приложения или управляемого удостоверения — которые запрашивают доступ к ресурсам Служебная шина Azure. Авторизация определяет, какие действия могут выполнять субъект.
Служебная шина Azure поддерживает два механизма проверки подлинности и авторизации:
- Microsoft Entra ID — рекомендуемый подход с помощью управления доступом на основе ролей (RBAC)
- Подпись общего доступа (SAS)— проверка подлинности на основе токенов с помощью криптографических ключей
В этой статье объясняется, как работает каждый механизм, помогая выбрать соответствующую модель безопасности для приложения.
Microsoft Entra ID
Интеграция Microsoft Entra с служебная шина обеспечивает управление доступом на основе ролей (RBAC) к ресурсам служебная шина. Вы можете использовать Azure RBAC для предоставления разрешений субъекту безопасности, которым может быть пользователь, группа, служебный принципал приложения или управляемая идентичность. Microsoft Entra выполняет проверку подлинности субъекта безопасности и возвращает маркер OAuth 2.0. Используйте этот маркер для авторизации запроса на доступ к ресурсу служебная шина (очередь, раздел или подписка).
Примечание.
REST API служебной шины поддерживает аутентификацию OAuth с Microsoft Entra ID.
Авторизация пользователей или приложений с использованием токена OAuth 2.0 от Microsoft Entra ID предоставляет более высокую безопасность и удобство по сравнению с подписями общего доступа. При использовании Microsoft Entra ID нет необходимости хранить токены в коде, избегая потенциальных уязвимостей безопасности. Используйте идентификатор Microsoft Entra с приложениями служебной шины Azure, когда это возможно.
Вы можете отключить локальную или SAS-проверку подлинности для пространства имен служебная шина и разрешить только проверку подлинности Microsoft Entra. Пошаговые инструкции см. в разделе Отключение локальной проверки подлинности.
Подписанный ключ доступа
Проверку подлинности SAS можно использовать для предоставления пользователю доступа к ресурсам служебной шины с определенными правами. Проверка подлинности SAS в служебная шина включает настройку криптографического ключа с связанными правами на ресурс служебная шина. Затем клиенты могут получить доступ к этому ресурсу. Для этого им нужно предоставить маркер SAS, который состоит из универсального кода ресурса (URI) данного ресурса, а также указать срок действия, подписанный с использованием настроенного ключа.
Политики общего доступа можно настроить в пространстве имен служебная шина. Ключ применяется ко всем сущностям обмена сообщениями в пределах этого пространства имен. Вы также можете настроить политики общего доступа для очередей и разделов служебная шина. Чтобы использовать SAS, в пространстве имен, очереди или разделе можно настроить правило авторизации общего доступа. Это правило состоит из трех элементов:
-
KeyName: имя правила. -
PrimaryKey: криптографический ключ, используемый для подписи и проверки токенов SAS. -
SecondaryKey: криптографический ключ, используемый для подписи и проверки токенов SAS.
: набор предоставленных прав на прослушивание, отправку или управление.
Правила авторизации, настроенные на уровне пространства имен, могут предоставлять доступ ко всем сущностям в пространстве имен для клиентов с маркерами, подписанными с помощью соответствующего ключа. Такие правила авторизации можно настроить до 12 в пространстве имен, очереди или разделе служебная шина. По умолчанию правило авторизации общего доступа со всеми правами настраивается для каждого пространства имен при его первом создании.
Для доступа к сущности клиенту требуется маркер SAS, созданный из определенного правила авторизации общего доступа, и HMAC-SHA256 подпись строки ресурса. Строка ресурса состоит из URI ресурса, к которому утверждается доступ, и срок действия с криптографическим ключом, связанным с правилом авторизации.
Связанный контент
Дополнительные сведения об использовании идентификатора Microsoft Entra для проверки подлинности см. в следующих статьях:
Дополнительные сведения об использовании SAS для проверки подлинности см. в следующей статье: