Sdílet prostřednictvím

Použití Microsoft Entra pro ověřování mezipamětí pomocí Azure Managed Redis (Preview)

  • Článek

Azure Managed Redis (Preview) nabízí dvě metody ověřování v instanci mezipaměti: přístupové klíče a Microsoft Entra.

I když je ověřování přístupového klíče jednoduché, přináší to řadu problémů souvisejících se správou zabezpečení a hesel. Naproti tomu v tomto článku se dozvíte, jak používat token Microsoft Entra pro ověřování mezipaměti.

Azure Managed Redis nabízí mechanismus ověřování bez hesla díky integraci s Microsoft Entra. ID Entra nakonfigurované pro připojení ke službě Azure Managed Redis má přiřazená stejná oprávnění jako při použití přístupových klíčů.

V tomto článku se dozvíte, jak použít instanční objekt nebo spravovanou identitu pro připojení k instanci Redis.

Předpoklady a omezení

  • Ověřování Microsoft Entra je podporováno pouze pro připojení SSL.
  • Některé příkazy Redis jsou blokované. Úplný seznam blokovaných příkazů najdete v tématu Příkazy Redis, které azure Managed Redis nepodporuje.

Důležité

Po navázání připojení pomocí tokenu Microsoft Entra musí klientské aplikace před vypršením platnosti pravidelně aktualizovat token Microsoft Entra. Aplikace pak musí odeslat AUTH příkaz na server Redis, aby nedošlo k narušení připojení. Další informace naleznete v tématu Konfigurace klienta Redis pro použití Microsoft Entra.

Povolení ověřování Microsoft Entra v mezipaměti

  1. Na webu Azure Portal vyberte instanci Azure Managed Redis, ve které chcete nakonfigurovat ověřování založené na tokenech Microsoft Entra.

  2. V nabídce Prostředek vyberte Ověřování.

  3. V pracovním podokně vyberte kartu Ověřování Microsoft Entra.

  4. Vyberte Povolit ověřování Microsoft Entra a zvolte tlačítka Uživatel nebo instanční objekt nebo Spravovaná identita. Uživatel, který zadáte, se automaticky přiřadí stejná oprávnění jako při použití přístupových klíčů při výběru. Můžete také zadat spravovanou identitu nebo instanční objekt pro připojení k instanci AMR.

    Snímek obrazovky znázorňující ověřování vybrané v nabídce prostředků a zaškrtávací políčko Povolit ověřování Microsoft Entra

Informace o tom, jak používat Microsoft Entra s Azure CLI, najdete na referenčních stránkách pro identitu.

Zakázání ověřování přístupového klíče v mezipaměti

Použití Microsoft Entra je bezpečný způsob, jak připojit mezipaměť. Doporučujeme používat Microsoft Entra a zakázat přístupové klíče.

Když zakážete ověřování pomocí přístupového klíče pro instanci Redis, ukončí se všechna stávající klientská připojení bez ohledu na to, jestli používají přístupové klíče nebo ověřování Microsoft Entra. Pokud existuje, postupujte podle doporučených osvědčených postupů klienta Redis a implementujte správné mechanismy opakování pro opětovné připojení založené na Microsoft Entra.

Než zakážete přístupové klíče:

  • Musí být povoleno ověřování Microsoft Entra.

  • U geograficky replikovaných mezipamětí musíte:

    1. Zrušte propojení mezipamětí.
    2. Zakázání přístupových klíčů
    3. Znovu propojte mezipaměti.

Pokud máte mezipaměť, ve které používáte přístupové klíče a chcete přístupové klíče zakázat, postupujte takto:

  1. Na webu Azure Portal vyberte instanci Azure Managed Redis, ve které chcete zakázat přístupové klíče.

  2. V nabídce Prostředek vyberte Ověřování.

  3. V pracovním podokně vyberte Přístupové klávesy.

  4. Nakonfigurujte ověřování přístupových klíčů, aby bylo zakázáno.

    Snímek obrazovky zobrazující přístupové klíče v pracovním podokně se zaškrtávacím zaškrtávacím políčka Zakázat ověřování přístupových klíčů

  5. Potvrďte, že chcete aktualizovat konfiguraci výběrem možnosti Ano.

Důležité

Když se pro mezipaměť změní nastavení Zakázat ověřování přístupových klíčů, ukončí se všechna stávající klientská připojení pomocí přístupových klíčů nebo Microsoft Entra. Postupujte podle osvědčených postupů a implementujte správné mechanismy opakování pro opětovné připojení na základě Microsoft Entra. Další informace najdete v tématu Odolnost připojení.

Konfigurace klienta Redis tak, aby používal Microsoft Entra

Vzhledem k tomu, že většina klientů Azure Managed Redis předpokládá, že k ověřování se používá heslo a přístupový klíč, budete pravděpodobně muset aktualizovat pracovní postup klienta tak, aby podporoval ověřování pomocí Microsoft Entra. V této části se dozvíte, jak nakonfigurovat klientské aplikace pro připojení ke službě Azure Managed Redis pomocí tokenu Microsoft Entra.

Pracovní postup klienta Microsoft Entra

  1. Nakonfigurujte klientskou aplikaci tak, aby získala token Microsoft Entra pro obor nebo https://redis.azure.com/.default acca5fbb-b7e4-4009-81f1-37e38fd66d78/.defaultpomocí knihovny MSAL (Microsoft Authentication Library).

  2. Aktualizujte logiku připojení Redis tak, aby používala následujícíUser:Password

    • User = ID objektu vaší spravované identity nebo instančního objektu
    • Password = Token Microsoft Entra, který jste získali pomocí knihovny MSAL

  3. Před vypršením platnosti tokenu Microsoft Entra pomocí příkazu Redis AUTH se ujistěte, že váš klient automaticky spustí příkaz Redis AUTH:

    • User = ID objektu vaší spravované identity nebo instančního objektu
    • Password = Pravidelně aktualizován token Microsoft Entra

Podpora klientské knihovny

Knihovna Microsoft.Azure.StackExchangeRedis je rozšíření StackExchange.Redis , které umožňuje používat Microsoft Entra k ověřování připojení z klientské aplikace Redis ke službě Azure Managed Redis. Rozšíření spravuje ověřovací token, včetně proaktivně obnovovacích tokenů před vypršením jejich platnosti, aby se zachovala trvalá připojení Redis za několik dnů.

Tento ukázkový kód ukazuje, jak se pomocí Microsoft.Azure.StackExchangeRedis balíčku NuGet připojit k instanci Azure Managed Redis pomocí Microsoft Entra.

Následující tabulka obsahuje odkazy na ukázky kódu. Ukazují, jak se připojit k instanci Azure Managed Redis pomocí tokenu Microsoft Entra. Různé klientské knihovny jsou součástí více jazyků.

Klientská knihovna Jazyk Odkaz na ukázkový kód
StackExchange.Redis .NET Ukázka kódu StackExchange.Redis
redis-py Python Ukázka kódu redis-py
Jedis Java Ukázka kódu Jedis
Lettuce Java Ukázka kódu salátu
Redisson Java Ukázka kódu Redisson
ioredis Node.js Ukázka kódu ioredis
node-redis Node.js Ukázka kódu node-redis

Osvědčené postupy pro ověřování Microsoft Entra

  • Nakonfigurujte privátní propojení nebo pravidla brány firewall pro ochranu vaší mezipaměti před útokem na dostupnost služby.
  • Ujistěte se, že klientská aplikace odešle nový token Microsoft Entra alespoň tři minuty před vypršením platnosti tokenu, aby nedošlo k přerušení připojení.
  • Při pravidelném volání příkazu serveru AUTH Redis zvažte přidání zatřesování tak, aby AUTH se příkazy zastřešovaly. Server Redis tímto způsobem nepřijímá příliš mnoho AUTH příkazů najednou.

Související obsah