Partilhar via

Usar o Microsoft Entra para autenticação de cache

  • Artigo

O Cache Redis do Azure oferece dois métodos para autenticar sua instância de cache: chaves de acesso e Microsoft Entra.

Embora a autenticação por chave de acesso seja simples, implica um conjunto de desafios em termos de segurança e de gestão de palavras-passe. Por outro lado, neste artigo, aprende a utilizar um token do Microsoft Entra para autenticação da cache.

A Cache do Azure para Redis oferece um mecanismo de autenticação sem palavra-passe através da integração com o Microsoft Entra. Esta integração também inclui a funcionalidade controlo do acesso baseado em funções fornecida através de listas de controlo de acesso (ACLs) suportadas em Redis open-source.

Para usar a integração ACL, seu aplicativo cliente deve assumir a identidade de uma entidade do Microsoft Entra, como entidade de serviço ou identidade gerenciada, e se conectar ao cache. Neste artigo, você aprenderá a usar sua entidade de serviço ou identidade gerenciada para se conectar ao cache. Você também aprenderá a conceder permissões predefinidas à sua conexão com base no artefato Microsoft Entra usado para a conexão.

Âmbito da disponibilidade

Escalão de serviço Básico, Standard e Premium Empresa, Enterprise Flash
Disponibilidade Sim No

Pré-requisitos e limitações

  • A autenticação Microsoft Entra é suportada para conexões SSL e TLS 1.2 ou superior.
  • A autenticação do Microsoft Entra não é suportada nas camadas Enterprise do Cache do Azure para Redis Enterprise.
  • Alguns comandos do Redis estão bloqueados. Para obter uma lista completa de comandos bloqueados, consulte Comandos Redis sem suporte no Cache do Azure para Redis.

Importante

Após o estabelecimento de uma ligação utilizando um token do Microsoft Entra, as aplicações cliente têm de atualizar periodicamente o token do Microsoft Entra antes de expirar. Em seguida, as aplicações devem enviar um comando AUTH para o servidor do Redis para evitar a interrupção das ligações. Para obter mais informações, consulte Configurar o seu cliente Redis para utilizar o Microsoft Entra.

Ativar a autenticação do Microsoft Entra na sua cache

  1. No portal do Azure, selecione a instância do Cache do Azure para Redis onde você deseja configurar a autenticação baseada em token do Microsoft Entra.

  2. No menu Recurso, selecione Autenticação.

  3. No painel de trabalho, selecione o separador Autenticação do Microsoft Entra.

  4. Selecione Ativar Autenticação Microsoft Entra e insira o nome de um usuário válido. O usuário inserido recebe automaticamente a Política de Acesso do Proprietário de Dados por padrão quando você seleciona Salvar. Você também pode inserir uma identidade gerenciada ou uma entidade de serviço para se conectar à sua instância de cache.

    Captura de ecrã a mostrar a autenticação selecionada no menu de recursos e a caixa de verificação Ativar autenticação do Microsoft Entra.

  5. Uma caixa de diálogo pop-up pergunta se você deseja atualizar sua configuração e informa que leva vários minutos. Selecione Yes (Sim).

    Importante

    Depois que a operação de habilitação for concluída, os nós na instância de cache serão reinicializados para carregar a nova configuração. Recomendamos que você execute essa operação durante a janela de manutenção ou fora do horário comercial de pico. A operação pode demorar até 30 minutos.

Para obter informações sobre como utilizar o Microsoft Entra com a CLI do Azure, consulte as páginas de referência para identidade.

Desativar a autenticação por chave de acesso na sua cache

A utilização do Microsoft Entra é a forma segura de ligar a sua cache. Recomendamos a utilização do Microsoft Entra e a desativação das chaves de acesso.

Quando você desabilita a autenticação de chave de acesso para um cache, todas as conexões de cliente existentes são encerradas, quer usem chaves de acesso ou autenticação do Microsoft Entra. Siga as melhores práticas do cliente Redis para implementar mecanismos de repetição adequados para voltar a estabelecer ligações baseadas no Microsoft Entra, se existentes.

Antes de desativar as chaves de acesso

  • Verifique se a autenticação do Microsoft Entra está habilitada e se você tem pelo menos um Usuário Redis configurado.
  • Certifique-se de que todos os aplicativos que se conectam à sua instância de cache alternem para usar a Autenticação do Microsoft Entra.
  • Certifique-se de que as métricas Clientes Conectados e Clientes Conectados Usando o Token Microsoft Entra tenham os mesmos valores. Se os valores dessas duas métricas não forem iguais, significa que ainda existem algumas ligações que foram criadas com chaves de acesso e não com o Token do Microsoft Entra.
  • Considere desativar o acesso durante o período de manutenção agendado para a instância de cache.
  • A desativação de chaves de acesso só está disponível para caches de nível Basic, Standard e Premium.

Para caches com georreplicação, tem de:

  1. Desassociar as caches.
  2. Desativar as chaves de acesso.
  3. Voltar a associar as caches.

Se você tiver um cache onde usou chaves de acesso e quiser desabilitar as chaves de acesso, siga este procedimento:

  1. No portal do Azure, selecione a instância do Cache do Azure para Redis onde você deseja desabilitar as chaves de acesso.

  2. No menu Recurso, selecione Autenticação.

  3. No painel de trabalho, selecione Teclas de acesso.

  4. Selecione Desativar autenticação de chaves de acesso. Em seguida, selecione Guardar.

    Captura de ecrã a mostrar chaves de acesso no painel de trabalho com a caixa de verificação Desativar Autenticação de Chaves de Acesso.

  5. Confirme que deseja atualizar sua configuração selecionando Sim.

Importante

Quando a definição Desativar a Autenticação por Chaves de Acesso for alterada para uma cache, todas as ligações de clientes existentes, utilizando chaves de acesso ou o Microsoft Entra, são terminadas. Siga as melhores práticas para implementar mecanismos de repetição adequados para voltar a estabelecer ligações baseadas no Microsoft Entra. Para obter mais informações, veja Resiliência da ligação.

Usar a configuração de acesso a dados com seu cache

Se você quiser usar uma política de acesso personalizada em vez de Proprietário de Dados Redis, vá para Configuração de Acesso a Dados no menu Recurso . Para obter mais informações, consulte Configurar uma política de acesso a dados personalizada para seu aplicativo.

  1. No portal do Azure, selecione a instância do Cache do Azure para Redis onde você deseja adicionar à configuração de acesso a dados.

  2. No menu Recurso, selecione Configuração de Acesso a Dados.

  3. Selecione Adicionar e, em seguida, selecione Novo Usuário Redis.

  4. Na guia Políticas de Acesso, selecione uma das políticas disponíveis na tabela: Proprietário dos Dados, Colaborador de Dados ou Leitor de Dados. Em seguida, selecione Next: Redis Users.

    Captura de ecrã a mostrar as Políticas de Acesso disponíveis.

  5. Escolha Usuário ou entidade de serviço ou Identidade Gerenciada para determinar como atribuir acesso à sua instância do Cache do Azure para Redis. Se você selecionar Usuário ou entidade de serviço e quiser adicionar um usuário, deverá primeiro habilitar a autenticação do Microsoft Entra.

  6. Em seguida, escolha Selecionar membros e escolha Selecionar. Em seguida, selecione Seguinte: Rever + atribuir.

    Captura de tela mostrando membros para adicionar como novos usuários do Redis.

  7. Uma caixa de diálogo pop-up notifica que a atualização é permanente e pode causar um breve erro de conexão. Selecione Yes (Sim).

    Importante

    Depois que a operação de habilitação for concluída, os nós na instância de cache serão reinicializados para carregar a nova configuração. Recomendamos que você execute essa operação durante a janela de manutenção ou fora do horário comercial de pico. A operação pode demorar até 30 minutos.

Configurar o seu cliente Redis para utilizar o Microsoft Entra

Como a maioria dos clientes do Cache do Azure para Redis assume que uma senha e uma chave de acesso são usadas para autenticação, você provavelmente precisará atualizar seu fluxo de trabalho de cliente para dar suporte à autenticação usando o Microsoft Entra. Nesta seção, você aprenderá a configurar seus aplicativos cliente para se conectar ao Cache Redis do Azure usando um token Microsoft Entra.

Fluxo de trabalho Microsoft Entra do cliente

  1. Configure a sua aplicação cliente para adquirir um token do Microsoft Entra para o âmbito, https://redis.azure.com/.default ou acca5fbb-b7e4-4009-81f1-37e38fd66d78/.default utilizando a Biblioteca de Autenticação da Microsoft (MSAL).

  2. Atualize a sua lógica de ligação Redis para utilizar o seguinte User e Password:

    • User = ID do objeto da sua identidade gerida ou principal de serviço
    • Password = Token do Microsoft Entra que adquiriu utilizando a MSAL

  3. Certifique-se de que seu cliente executa um comando RedisAUTH automaticamente antes de o seu token do Microsoft Entra expirar, utilizando:

    • User = ID do objeto da sua identidade gerida ou principal de serviço
    • Password = Token do Microsoft Entra atualizado periodicamente

Suporte à biblioteca de cliente

A biblioteca Microsoft.Azure.StackExchangeRedis é uma extensão que permite que você use o Microsoft Entra para autenticar conexões de um aplicativo cliente Redis para um Cache do StackExchange.Redis Azure para Redis. A extensão gere o token de autenticação, incluindo a atualização proativa de tokens antes de expirarem para manter ligações Redis persistentes durante vários dias.

Este exemplo de código demonstra como usar o pacote NuGet para se conectar à sua instância do Cache Redis do Azure usando o Microsoft.Azure.StackExchangeRedis Microsoft Entra.

A tabela seguinte inclui ligações para exemplos de código. Eles demonstram como se conectar à sua instância do Cache Redis do Azure usando um token do Microsoft Entra. Estão incluídas várias bibliotecas de cliente em vários idiomas.

Biblioteca de cliente Idioma Ligação para código de exemplo
StackExchange.Redis .NET Exemplo de código StackExchange.Redis
go-redis Go exemplo de código go-redis
redis-py Python Exemplo de código redis-py
Jedis Java Exemplo de código Jedis
Lettuce Java Exemplo de código Lettuce
Redisson Java Exemplo de código Redisson
Ioredis Node.js Exemplo de código ioredis
node-redis Node.js Exemplo de código node-redis

Melhores práticas para autenticação do Microsoft Entra

  • Configure ligações privadas ou regras de firewall para proteger a sua cache de um ataque denial of service.
  • Certifique-se de que a sua aplicação cliente envia um novo token do Microsoft Entra pelo menos três minutos antes da expiração do token de modo a evitar a interrupção da ligação.
  • Ao chamar o comando do servidor AUTH Redis periodicamente, considere adicionar um atraso aleatório para que os AUTH comandos sejam escalonados. Desta forma, o seu servidor do Redis não recebe muitos comandos AUTH ao mesmo tempo.

Conteúdos relacionados