Compartilhar via


Autenticação e autorização da Retransmissão do Azure

Há duas maneiras de autenticar e autorizar o acesso aos recursos do Azure Relay: ID do Microsoft Entra e SAS (Assinaturas de Acesso Compartilhado). Este artigo fornece detalhes sobre como usar esses dois tipos de mecanismos de segurança.

ID do Microsoft Entra

A integração do Microsoft Entra para recursos do Azure Relay fornece o controle de acesso baseado em função do Azure (RBAC do Azure) para controle refinado sobre o acesso de um cliente aos recursos. Use o RBAC do Azure para conceder permissões a uma entidade de segurança, que pode ser um usuário, um grupo ou uma entidade de serviço de aplicativo. A entidade de segurança é autenticada pelo Microsoft Entra ID para retornar um token OAuth 2.0. O token pode ser usado para autorizar uma solicitação de acesso a um recurso de Retransmissão do Azure.

Para obter mais informações sobre a autenticação com o Microsoft Entra ID, confira os seguintes artigos:

Importante

A autorização de usuários ou de aplicativos que usam o token do OAuth 2.0 retornado pelo Microsoft Entra ID fornece segurança e facilidade de uso superiores em relação às SAS (assinaturas de acesso compartilhado). Com o Microsoft Entra ID, não é preciso armazenar os tokens no seu código e arriscar as vulnerabilidades de segurança potenciais. Recomendamos que você use a ID do Microsoft Entra com seus aplicativos do Azure Relay quando possível.

Funções internas

Para a Retransmissão do Azure, o gerenciamento de namespaces e de todos os recursos relacionados por meio do portal do Azure e da API de gerenciamento de recursos do Azure já está protegido pelo modelo Azure RBAC. O Azure fornece as funções internas do Azure abaixo para autorizar o acesso a um namespace de Retransmissão:

Função Descrição
Proprietário de Retransmissão do Azure Use essa função para conceder acesso completo aos recursos de Retransmissão do Azure.
Ouvinte de Retransmissão do Azure Use essa função para conceder acesso de escuta e leitura de entidade aos recursos de Retransmissão do Azure.
Remetente de Retransmissão do Azure Use essa função para conceder acesso de envio e leitura de entidade aos recursos de Retransmissão do Azure.

Assinatura de Acesso Compartilhado

Os aplicativos podem autenticar a Retransmissão do Azure usando a autenticação de SAS (Assinatura de Acesso Compartilhado). A autenticação SAS permite que os aplicativos se autentiquem no serviço de Retransmissão do Azure usando uma chave de acesso configurada no namespace da Retransmissão. Em seguida, você pode usar essa chave para gerar um token de Assinatura de Acesso Compartilhado que os clientes podem usar para se autenticar no serviço de retransmissão.

A autenticação SAS permite que você conceda a um usuário acesso a recursos de Retransmissão do Azure com direitos específicos. A autenticação SAS envolve a configuração de uma chave de criptografia com direitos associados em um recurso. Os clientes podem obter acesso a esse recurso apresentando um token SAS que consiste em acessar o URI de recurso e assinar uma expiração com a tecla configurada.

É possível configurar chaves para SAS em um namespace da Retransmissão. Ao contrário do sistema de mensagens do Barramento de Serviço, as Conexões Híbridas de Retransmissão dão suporte a remetentes anônimos ou não autorizados. Você pode habilitar acesso anônimo para a entidade quando você a criar, conforme mostrado na seguinte imagem capturada do portal:

A dialog box titled

Para usar a SAS, você pode configurar um objeto SharedAccessAuthorizationRule em um namespace de retransmissão que consista nas seguintes propriedades:

  • KeyName , que identifica a regra.
  • PrimaryKey , que é uma chave de criptografia usada para assinar/validar tokens SAS.
  • SecondaryKey , que é uma chave de criptografia usada para assinar/validar tokens SAS.
  • Direitos , que representa a coleção de direitos de Escuta, Envio ou Gerenciamento concedidos.

As regras de autorização configuradas no nível de namespace podem conceder acesso a todas as conexões de retransmissão em um namespace para clientes com tokens assinados usando a chave correspondente. Até 12 regras de autorização podem ser configuradas em um namespace de Retransmissão. Por padrão, uma SharedAccessAuthorizationRule com todos os direitos é configurada para cada namespace quando ele é provisionado pela primeira vez.

Para acessar uma entidade, o cliente requer um token SAS gerado usando uma determinada SharedAccessAuthorizationRule. O token SAS é gerado usando o HMAC-SHA256 de uma cadeia de caracteres de recurso que consiste no URI de recurso ao qual o acesso é solicitado e em uma expiração com uma chave criptográfica associada à regra de autorização.

O suporte à autenticação SAS para a Retransmissão do Azure está incluído no .NET SDK do Azure versão 2.0 e posterior. A SAS dá suporte a uma SharedAccessAuthorizationRule. Todas as APIs que aceitam uma cadeia de conexão como parâmetro incluem suporte para cadeias de conexão SAS.

Exemplos

Próximas etapas