Sdílet prostřednictvím

Zabezpečení Notification Hubs

  • Článek

Přehled

Toto téma popisuje model zabezpečení služby Azure Notification Hubs.

Zabezpečení sdíleného přístupového podpisu

Notification Hubs implementuje schéma zabezpečení na úrovni entity označované jako sdílený přístupový podpis (SAS). Každé pravidlo obsahuje název, hodnotu klíče (sdílený tajný klíč) a sadu práv, jak je vysvětleno dále v části Deklarace zabezpečení.

Při vytváření centra se automaticky vytvoří dvě pravidla: jedno s právy naslouchacími právy (které klientská aplikace používá) a jedno se všemi právy (které back-end aplikace používá):

  • DefaultListenSharedAccessSignature: Uděluje pouze oprávnění k naslouchání .
  • DefaultFullSharedAccessSignature: uděluje oprávnění Listen, Manage a Send . Tyto zásady se použijí jenom v back-endu vaší aplikace. Nepoužívejte ji v klientských aplikacích; použijte zásadu pouze s přístupem k naslouchání . Pokud chcete vytvořit novou vlastní zásadu přístupu s novým tokenem SAS, podívejte se na tokeny SAS pro zásady přístupu dále v tomto článku.

Při správě registrace z klientských aplikací platí, že pokud informace odeslané prostřednictvím oznámení nejsou citlivé (například aktualizace počasí), běžným způsobem, jak získat přístup k centru oznámení, je dát klíčové hodnotě pravidla přístup jen pro naslouchání klientské aplikaci a poskytnout klíčové hodnotě pravidla úplný přístup k back-endu aplikace.

Aplikace by neměly vkládat hodnotu klíče do klientských aplikací pro Windows Store; Místo toho načtěte klientskou aplikaci z back-endu aplikace při spuštění.

Klíč s přístupem k naslouchacímu procesu umožňuje klientské aplikaci zaregistrovat jakoukoli značku. Pokud vaše aplikace musí omezit registrace na konkrétní značky na konkrétní klienty (například když značky představují ID uživatelů), musí back-end vaší aplikace provést registrace. Další informace naleznete v tématu Správa registrace. Upozorňujeme, že klientská aplikace tímto způsobem nebude mít přímý přístup ke službě Notification Hubs.

Deklarace identity zabezpečení

Podobně jako u jiných entit jsou operace centra oznámení povolené pro tři deklarace identity zabezpečení: naslouchání, odesílání a správa.

Deklarace identity Popis Povolené operace
Naslouchat Vytvoření, aktualizace, čtení a odstranění jednotlivých registrací Vytvoření nebo aktualizace registrace

Čtení registrace

Čtení všech registrací popisovače

Odstranění registrace
Odeslat Odesílání zpráv do centra oznámení Odeslat zprávu
Spravovat CRUDs v Notification Hubs (včetně aktualizace přihlašovacích údajů PNS a klíčů zabezpečení) a čtení registrací na základě značek Vytvoření, aktualizace, čtení nebo odstranění center

Čtení registrací podle značky

Notification Hubs přijímá tokeny SAS vygenerované pomocí sdílených klíčů nakonfigurovaných přímo v centru.

Oznámení není možné odeslat více než jednomu oboru názvů. Obory názvů jsou logické kontejnery pro Notification Hubs a nejsou zapojeny do odesílání oznámení.

Pro operace na úrovni oboru názvů použijte zásady přístupu na úrovni oboru názvů (přihlašovací údaje). Například: výpis rozbočovačů, vytváření nebo odstraňování center atd. Jenom zásady přístupu na úrovni centra umožňují odesílat oznámení.

Tokeny SAS pro zásady přístupu

Pokud chcete vytvořit novou deklaraci identity zabezpečení nebo zobrazit existující klíče SAS, postupujte takto:

  1. Přihlaste se k portálu Azure.
  2. Vyberte Všechny prostředky.
  3. Vyberte název centra oznámení, pro které chcete vytvořit deklaraci identity, nebo zobrazte klíč SAS.
  4. V nabídce vlevo vyberte Zásady přístupu.
  5. Výběrem možnosti Nová zásada vytvořte novou deklaraci identity zabezpečení. Pojmenujte zásadu a vyberte oprávnění, která chcete udělit. Pak vyberte OK.
  6. Úplný připojovací řetězec (včetně nového klíče SAS) se zobrazí v okně Zásady přístupu. Tento řetězec můžete zkopírovat do schránky pro pozdější použití.

Pokud chcete extrahovat klíč SAS z konkrétní zásady, vyberte tlačítko Kopírovat vedle zásady obsahující požadovaný klíč SAS. Tuto hodnotu vložte do dočasného umístění a zkopírujte část klíče SAS připojovací řetězec. Tento příklad používá obor názvů Notification Hubs s názvem mytestnamespace1 a zásadu s názvem policy2. Klíč SAS je hodnota blízko konce řetězce určeného parametrem SharedAccessKey:

Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>

Získání klíčů SAS

Další kroky