(0) exportieren Drucken
Alle erweitern

Sichern und Authentifizieren einer Service Bus-Verbindung

Letzte Aktualisierung: September 2014

In diesem Abschnitt werden die speziellen Vorgänge zum Verwenden der Authentifizierung für Microsoft Azure Service Bus beschrieben.

Anwendungen, die Servicebus verwenden, müssen an zwei Punkten Sicherheitsaufgaben ausführen.Erster Punkt: Dienste, die für die Verwendung durch Servicebus bereitgestellt werden, sind Ressourcen.Aus diesem Grund erfordert der Zugriff auf sie – ob zu Konfigurierungs- und Registrierungszwecken oder zum Aufrufen von Dienstfunktionen – die Authentifizierung und Autorisierung mithilfe von Token aus dem Zugriffssteuerung für Microsoft Azure-Dienst.Zweiter Punkt: Wenn eine Berechtigung für die Interaktion mit dem Dienst durch Servicebus erteilt wurde, wendet der Dienst seine eigenen Sicherheitsmaßnahmen an, die für die Authentifizierung, Autorisierung, Verschlüsselung und Signaturen gelten, die für den Nachrichtenaustausch selbst erforderlich sind.Dieser zweite Sicherheitsaspekt bezieht sich nicht auf die Funktionen von Servicebus, sondern stellt ausschließlich Überlegungen zum Dienst und seinen Clients dar.

Im ersten Fall werden die Authentifizierung und Autorisierung für die Verwendung eines durch Servicebus bereitgestellten Diensts durch die Zugriffssteuerung gesteuert, und ein programmgesteuerter Zugriff darauf ist über die Servicebus-API möglich.Vier Authentifizierungstypen sind zurzeit verfügbar:

Im zweiten Fall wendet der Ursprungsdienst selbst normalerweise eine Form von End-to-End-Sicherheit an, die Sicherheit auf Nachrichtenebene (z. B. Nachrichtenverschlüsselung) und Transportebene (z. B. Windows oder NTLM) angibt.Die End-to-End-Konvertierungssicherheit lehnt sich das Windows Communication Foundation (WCF)-Programmiermodell an und wird ausführlicher unter dem Thema Securing Services in der WCF-Dokumentation dargestellt.Die folgenden Themen enthalten zwar eine allgemeine Darstellung der End-to-End-Sicherheit, der Schwerpunkt liegt aber vorwiegend auf den Funktionen, die für einen Dienst einzigartig sind, der für die Verwendung von Servicebus konfiguriert ist.Themenbereich Servicebus zur Authentifizierung und Zugriffssteuerung finden Sie unter Building Applications that Use Access Control Services.

Jede Servicebus-Relaybindung besitzt ein Sicherheitsbindungselement – die Klasse NetTcpRelaySecurityElement führt z. B. die Sicherheitsfunktionen für NetTcpRelayBinding aus –, das die folgenden Sicherheitswerte enthält, die Sie programmgesteuert oder in einer Konfigurationsdatei angeben können.

Mode
Kurzform für den End-to-End-Sicherheitsmodus. Dieser Wert definiert die Sicherheit für den Nachrichtenaustausch über Servicebus.Der programmatische Wert hängt von der jeweiligen Relaybindung ab. Die Klasse Microsoft.ServiceBus.EndToEndSecurityMode unterstützt z. B. die Bindung NetTcpRelayBinding, und der Wert Microsoft.ServiceBus.EndToEndWebHttpSecurityMode führt diesen Dienst zusammen mit der Bindung WebHttpRelayBinding aus.Wenn die Verwendung mit der Bindung NetTcpRelayBinding erfolgt, kann diese Eigenschaft auf Microsoft.ServiceBus.EndToEndSecurityMode.None, Microsoft.ServiceBus.EndToEndSecurityMode.Message, Microsoft.ServiceBus.EndToEndSecurityMode.Transport oder Microsoft.ServiceBus.EndToEndSecurityMode.TransportWithMessageCredential festgelegt werden.Der Standardwert ist Microsoft.ServiceBus.EndToEndSecurityMode.Transport. Dies bedeutet, dass die transportspezifischen Sicherheitseinstellungen aktiviert sind.Wenn Sie eine Einstellung verwenden, die Microsoft.ServiceBus.EndToEndSecurityMode.Message oder Microsoft.ServiceBus.EndToEndSecurityMode.Transport enthält, müssen Sie zusätzliche Eigenschaften festlegen.Im Allgemeinen lehnt sich der Wert Mode an das Standard-WCF-Sicherheitsprogrammiermodell an.

Message
Definiert die Sicherheit pro Nachricht, wenn Sie die End-to-End-Nachrichtensicherheit auf Microsoft.ServiceBus.EndToEndSecurityMode.Message oder TransportWithMessageCredential festlegen.Wenn Sie einen dieser Werte für die Eigenschaft Mode festlegen, ist es erforderlich, diese Eigenschaft ebenfalls festzulegen, um den verwendeten Anmeldeinformationentyp anzugeben, ebenso wie den Algorithmus, der zum Sichern der Anmeldeinformationen verwendet wird.Ebenso wie bei Mode lehnt sich die Nachrichtensicherheit an das WCF-Programmiermodell an.

Transport
Diese Eigenschaft ist ein Wrapper für Sicherheitseigenschaften, die für das Transportbindungselement einer angegebenen Bindung spezifisch sind.Die Klasse Microsoft.ServiceBus.RelayedOnewayTransportSecurity stellt z. B. die Einstellung Microsoft.ServiceBus.RelayedOnewayTransportSecurity.ProtectionLevel für die Bindungen NetEventRelayBinding und NetOnewayRelayBinding bereit und implementiert diese.Im Gegensatz dazu legt der Typ Microsoft.ServiceBus.HttpRelayTransportSecurity Proxyanmeldeinformationen für die Bindungen BasicHttpRelayBinding und WS2007HttpRelayBinding fest.Ebenso wie bei den zuvor beschriebenen Eigenschaften lehnt sich die Transportsicherheit im Allgemeinen an das WCF-Sicherheitsmodell an.

RelayClientAuthenticationType
Steuert, ob die Clients eines Diensts beim Senden von Nachrichten ein von Zugriffssteuerung ausgestelltes Sicherheitstoken für Servicebus bereitstellen müssen.Daher ist diese Sicherheitseigenschaft für Servicebus spezifisch und bildet den Schwerpunkt der Themen in diesem Abschnitt der Dokumentation.Dienste müssen sich immer bei Zugriffssteuerung authentifizieren und ein Autorisierungstoken für Servicebus bereitstellen. Andernfalls können sie keine Endpunkte registrieren, für die Servicebus-Ressourcen erforderlich sind.Clients müssen sich jedoch nur bei Servicebus authentifizieren, wenn RelayClientAuthenticationType auf RelayAccessToken festgelegt ist.Wenn RelayClientAuthenticationType auf Microsoft.ServiceBus.RelayClientAuthenticationType.None festgelegt wird, entfällt die Erfordernis eines Tokens.Wenn Sie Ihre eigene Authentifizierung bereitstellen oder keine Authentifizierung erforderlich ist, können Sie die Authentifizierung für den Client (Absender) im Servicebus-Strang der Kommunikation abwählen.Der Standardwert ist RelayAccessToken.

Außerdem enthält jede Bindung die Eigenschaft Scheme, die das zum Codieren der Informationen verwendete Schema definiert.Für auf HTTP basierende Bindungen (z. B. BasicHttpRelayBinding) ist das Standardschema HTTPS. Dieses Schema enthält seine eigenen Sicherheitsprotokolle.

In diesem Abschnitt

Anzeigen:
© 2014 Microsoft