Udostępnij za pośrednictwem


Zabezpieczenia usługi Notification Hubs

Omówienie

W tym temacie opisano model zabezpieczeń usługi Azure Notification Hubs.

Zabezpieczenia sygnatury dostępu współdzielonego

Usługa Notification Hubs implementuje schemat zabezpieczeń na poziomie jednostki nazywany sygnaturą dostępu współdzielonego (SAS). Każda reguła zawiera nazwę, wartość klucza (wspólny klucz tajny) i zestaw praw, zgodnie z opisem w dalszej części oświadczenia zabezpieczeń.

Podczas tworzenia centrum tworzone są dwie reguły: jedna z prawami nasłuchiwania (używana przez aplikację kliencką) i druga z wszystkimi prawami (których używa zaplecze aplikacji):

  • DefaultListenSharedAccessSignature: przyznaje tylko uprawnienie Nasłuchiwanie .
  • DefaultFullSharedAccessSignature: przyznaje uprawnienia Nasłuchiwanie, Zarządzanie i Wysyłanie . Te zasady mają być używane tylko w zapleczu aplikacji. Nie należy jej używać w aplikacjach klienckich; użyj zasad z dostępem tylko do nasłuchiwania . Aby utworzyć nowe niestandardowe zasady dostępu przy użyciu nowego tokenu SAS, zobacz Tokeny SAS dla zasad dostępu w dalszej części tego artykułu.

W przypadku zarządzania rejestracją z aplikacji klienckich, jeśli informacje wysyłane za pośrednictwem powiadomień nie są poufne (na przykład aktualizacje pogody), typowym sposobem uzyskania dostępu do centrum powiadomień jest nadanie kluczowej wartości reguły Dostęp tylko do nasłuchiwania do aplikacji klienckiej i nadanie kluczowej wartości reguły pełnego dostępu do zaplecza aplikacji.

Aplikacje nie powinny osadzać wartości klucza w aplikacjach klienckich ze Sklepu Windows; Zamiast tego aplikacja kliencka pobierze ją z zaplecza aplikacji podczas uruchamiania.

Klucz z dostępem nasłuchiwania umożliwia aplikacji klienckiej zarejestrowanie się pod kątem dowolnego tagu. Jeśli aplikacja musi ograniczyć rejestracje do określonych tagów określonym klientom (na przykład gdy tagi reprezentują identyfikatory użytkowników), zaplecze aplikacji musi wykonać rejestracje. Aby uzyskać więcej informacji, zobacz Zarządzanie rejestracją. Należy pamiętać, że w ten sposób aplikacja kliencka nie będzie miała bezpośredniego dostępu do usługi Notification Hubs.

Oświadczenia zabezpieczeń

Podobnie jak w przypadku innych jednostek, operacje usługi Notification Hub są dozwolone dla trzech oświadczeń zabezpieczeń: Nasłuchiwanie, Wysyłanie i zarządzanie.

Oświadczenie opis Dozwolone operacje
Nasłuchiwanie Tworzenie/aktualizowanie, odczytywanie i usuwanie rejestracji jednokrotnych Tworzenie/aktualizowanie rejestracji

Rejestracja odczytu

Odczytywanie wszystkich rejestracji dla uchwytu

Usuwanie rejestracji
Wysyłanie Wysyłanie komunikatów do centrum powiadomień Wyślij wiadomość
Zarządzanie Operacje CRUD w usłudze Notification Hubs (w tym aktualizowanie poświadczeń systemu powiadomień i kluczy zabezpieczeń) i odczytywanie rejestracji na podstawie tagów Tworzenie/aktualizowanie/odczytywanie/usuwanie centrów

Odczytywanie rejestracji według tagu

Usługa Notification Hubs akceptuje tokeny SAS wygenerowane przy użyciu kluczy udostępnionych skonfigurowanych bezpośrednio w centrum.

Nie można wysłać powiadomienia do więcej niż jednej przestrzeni nazw. Przestrzenie nazw to kontenery logiczne dla usługi Notification Hubs i nie są zaangażowane w wysyłanie powiadomień.

Użyj zasad dostępu na poziomie przestrzeni nazw (poświadczeń) dla operacji na poziomie przestrzeni nazw; na przykład: wyświetlanie listy centrów, tworzenie lub usuwanie centrów itp. Tylko zasady dostępu na poziomie centrum umożliwiają wysyłanie powiadomień.

Tokeny SAS dla zasad dostępu

Aby utworzyć nowe oświadczenie zabezpieczeń lub wyświetlić istniejące klucze SAS, wykonaj następujące czynności:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz pozycję Wszystkie zasoby.
  3. Wybierz nazwę centrum powiadomień, dla którego chcesz utworzyć oświadczenie lub wyświetl klucz SYGNATURY dostępu współdzielonego.
  4. W menu po lewej stronie wybierz pozycję Zasady dostępu.
  5. Wybierz pozycję Nowe zasady , aby utworzyć nowe oświadczenie zabezpieczeń. Nadaj zasadom nazwę i wybierz uprawnienia, które chcesz przyznać. Następnie wybierz opcję OK.
  6. Pełna parametry połączenia (w tym nowy klucz SAS) jest wyświetlana w oknie Zasady dostępu. Możesz skopiować ten ciąg do schowka do późniejszego użycia.

Aby wyodrębnić klucz SAS z określonych zasad, wybierz przycisk Kopiuj obok zasad zawierających odpowiedni klucz SAS. Wklej tę wartość do lokalizacji tymczasowej, a następnie skopiuj część klucza sygnatury dostępu współdzielonego parametry połączenia. W tym przykładzie użyto przestrzeni nazw usługi Notification Hubs o nazwie mytestnamespace1 i zasad o nazwie policy2. Klucz sygnatury dostępu współdzielonego jest wartością w pobliżu końca ciągu określonego przez wartość SharedAccessKey:

Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>

Uzyskiwanie kluczy sygnatury dostępu współdzielonego

Następne kroki