Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Es gibt zwei Möglichkeiten, den Zugriff auf Azure Service Bus Ressourcen zu authentifizieren und zu autorisieren:
- Microsoft Entra ID
- Geteilte Zugriffssignaturen (Shared Access Signatures, SAS).
In diesem Artikel erhalten Sie Informationen zur Verwendung dieser beiden Arten von Sicherheitsmechanismen.
Microsoft Entra ID
Microsoft Entra Integration mit Service Bus bietet rollenbasierte Zugriffssteuerung (RBAC) für Service Bus Ressourcen. Sie können Azure RBAC verwenden, um Berechtigungen für einen Sicherheitsprinzipal zu erteilen, bei dem es sich um einen Benutzer, eine Gruppe, einen Anwendungsdienstprinzipal oder eine verwaltete Identität handeln kann. Microsoft Entra authentifiziert den Sicherheitshauptakteur und gibt ein OAuth 2.0-Token zurück. Dieses Token kann verwendet werden, um eine Anforderung für den Zugriff auf eine Service Bus Ressource (Warteschlange, Thema und Abonnement) zu autorisieren.
Weitere Informationen zur Authentifizierung mit Microsoft Entra ID finden Sie in den folgenden Artikeln:
Hinweis
Service Bus REST-API unterstützt die OAuth-Authentifizierung mit Microsoft Entra ID.
Wichtig
Die Autorisierung von Benutzern oder Anwendungen mit einem von Microsoft Entra ID zurückgegebenen OAuth 2.0-Token bietet gegenüber Shared Access Signatures (SAS) eine überlegene Sicherheit und Benutzerfreundlichkeit. Mit Microsoft Entra ID müssen keine Token in Ihrem Code gespeichert werden, und dadurch potenzielle Sicherheitsrisiken vermeiden. Es wird empfohlen, Microsoft Entra ID nach Möglichkeit mit Ihren Azure Service Bus Anwendungen zu verwenden.
Sie können die lokale oder SAS-Schlüsselauthentifizierung für einen Service Bus Namespace deaktivieren und nur Microsoft Entra Authentifizierung zulassen. Eine schrittweise Anleitung finden Sie unter Deaktivieren der lokalen Authentifizierung.
Shared Access Signature (SAS)
SAS-Authentifizierung ermöglicht es Ihnen, einem Benutzer Zugriff auf Service Bus Ressourcen mit bestimmten Rechten zu gewähren. Die SAS-Authentifizierung in Service Bus umfasst die Konfiguration eines kryptografischen Schlüssels mit den zugehörigen Rechten für eine Service Bus Ressource. Clients können Zugriff auf diese Ressource erlangen, indem sie ein SAS-Token bereitstellen. Dieses setzt sich aus dem Ressourcen-URI, auf den zugegriffen wird, und einer Ablaufangabe zusammen, die mit dem konfigurierten Schlüssel signiert wird.
Sie können freigegebene Zugriffsrichtlinien für einen Service-Bus-Namespace konfigurieren. Der betreffende Schlüssel gilt für alle Messagingentitäten innerhalb des jeweiligen Namespace. Du kannst auch freigegebene Zugriffsrichtlinien für Service Bus-Warteschlangen und -Themen konfigurieren. Wenn Sie SAS verwenden möchten, können Sie eine Autorisierungsregel für gemeinsamen Zugriff für einen Namespace, eine Warteschlange oder ein Thema konfigurieren. Diese Regel besteht aus den folgenden Elementen:
- KeyName: identifiziert die Regel.
- PrimaryKey: ein kryptografischer Schlüssel, der zum Signieren/Überprüfen von SAS-Token verwendet wird.
- SecondaryKey: ein kryptografischer Schlüssel, der zum Signieren/Überprüfen von SAS-Token verwendet wird.
- Rechte: stellt die Sammlung von Zuhören-, Senden- oder Verwalten-Rechten dar, die gewährt werden.
Autorisierungsregeln, die auf Namespace-Ebene konfiguriert werden, können Zugriff auf alle Entitäten in einem Namespace für Clients mit Token erteilen, die mithilfe des entsprechenden Schlüssels signiert wurden. Sie können bis zu 12 solche Autorisierungsregeln für einen Service Bus Namespace, eine Warteschlange oder ein Thema konfigurieren. Standardmäßig wird für jeden Namespace bei der ersten Bereitstellung eine Autorisierungsregel für gemeinsamen Zugriff mit allen Rechten konfiguriert.
Für den Zugriff auf eine Entität erfordert der Client ein SAS-Token, das mithilfe einer bestimmten Autorisierungsregel für gemeinsamen Zugriff generiert wurde. Das SAS-Token wird anhand des HMAC-SHA256-Codes einer Ressourcenzeichenfolge generiert. Diese besteht aus dem Ressourcen-URI, auf den der Zugriff beansprucht wird, sowie aus einer Ablaufangabe mit einem kryptografischen Schlüssel, der der Autorisierungsregel zugeordnet ist.
Ausführliche Informationen zur Verwendung von SAS für die Authentifizierung finden Sie unter Authentifizierung mit Signaturen für den freigegebenen Zugriff.
Zugehöriger Inhalt
Weitere Informationen zur Authentifizierung mit Microsoft Entra ID finden Sie in den folgenden Artikeln:
Weitere Informationen zur Authentifizierung mit SAS finden Sie in den folgenden Artikeln: