Поделиться через

Безопасность

  • Статья

В этой статье описывается модель безопасности Центров уведомлений Azure. Поскольку Центр уведомлений — это сущность служебной шины, в нем реализуется та же модель безопасности, что и для служебной шины. Дополнительные сведения о SAS см. в статье MSDN Аутентификация и авторизация в служебной шине.

Безопасность подписанного URL-адреса (SAS)

Концентраторы уведомлений реализуют схему безопасности на уровне сущности, называемую SAS (подписанный URL-адрес). Эта схема позволяет сущности обмена сообщениями объявлять до 12 правил авторизации в своем описании, которое предоставляет права на эту сущность.

Каждое правило содержит имя, значение ключа (общий секрет) и набор прав, как описано в разделе "Утверждения безопасности". При создании Центра уведомлений автоматически создаются два правила: одно с правами прослушивания (используемое клиентским приложением) и другое со всеми правами (используемое серверной частью приложения).

При управлении регистрациями из клиентских приложений, если данные, отправляемые посредством уведомлений, не являются конфиденциальными (например, новости погоды), то обычный способ доступа к Центру уведомлений состоит в передаче значения ключа для правила "Доступ только для прослушивания" в клиентское приложение, а также передаче значения ключа для правила "Полный доступ" в серверную часть приложения.

Не рекомендуется включать значение ключа в клиентские приложения Магазина Windows. Чтобы избежать этого, можно в клиентском приложении задать извлечение ключа из серверной части во время запуска.

Важно понимать, что ключ с доступом на прослушивание позволяет клиентскому приложению регистрироваться на любой тег. Если в приложении регистрации должны ограничиваться конкретными тегами для конкретных клиентов (например, когда теги отражают идентификаторы пользователей), то регистрацию должна проводить серверная часть. Дополнительные сведения см. в разделе "Управление регистрацией". в статье "Управление регистрациями" Обратите внимание, что в этом случае клиентское приложение не имеет прямого доступа к Центрам уведомлений.

Утверждения безопасности

Аналогично другим сущностям для операций Центра уведомлений разрешены три типа утверждений безопасности: прослушивание, отправка и управление.

Утверждение Описание Разрешенные операции

Прослушивание

Создание/обновление, чтение и удаление отдельных регистраций.

Создание и обновление регистрации.

Чтение регистрации.

Чтение всех регистраций для дескриптора.

Удаление регистрации.

Send

Отправка сообщений в концентратор уведомлений.

Отправка сообщения.

Управление

CRUD в концентраторах уведомлений (включая обновление учетных данных PNS и ключи безопасности) и чтение регистраций на основе тегов.

Создание, обновление, чтение и удаление в концентраторах уведомлений.

Чтение регистраций по тегу.

Центры уведомлений принимают утверждения, предоставленные маркерами контроля доступа Microsoft Azure и маркерами подписей, которые создаются с использованием общих ключей, заданных непосредственно в Центре уведомлений.