Exportar (0) Imprimir
Expandir Tudo

Segurança e autenticação em uma conexão do Service Bus

Atualizado: junho de 2014

Esta seção descreve processos específicos para o uso de autenticação no Microsoft Azure Service Bus.

Aplicativos que usam o Service Bus são necessários para executar tarefas de segurança em dois pontos. Primeiro, serviços expostos para uso pelo Service Bus são recursos. Por isso, o acesso a eles – seja com o propósito de configurar e registrar ou de chamar a funcionalidade do serviço – exige autenticação e autorização com o uso de tokens do serviço Access Control do Microsoft Azure. Segundo, quando a permissão para interagir com o serviço tiver sido concedida pelo Service Bus, o serviço passa a ter seus próprios aspectos de segurança que são associados à autenticação, autorização, criptografia e assinaturas necessárias pela própria troca de mensagens. Esse segundo conjunto de problemas de segurança não está relacionado à funcionalidade do Service Bus; é um aspecto puramente do serviço e de seus clientes.

No primeiro caso, a autenticação e a autorização para usar um serviço exposto pelo Service Bus são controladas pelo Access Control, e podem ser acessadas de forma programática através da API do Service Bus. Existem quatro tipos de autenticação disponíveis atualmente:

No segundo caso, o próprio serviço de origem, normalmente, aplica alguma segurança de ponta a ponta que especifica a segurança em nível de mensagem (por exemplo, uma criptografia de mensagem) e a segurança em nível de transporte (por exemplo, Windows ou NTLM). A segurança de conversação de ponta a ponta segue o modelo de programação do Windows Communication Foundation (WCF) e é discutida com mais detalhes no tópico Securing Services na documentação do WCF. Por isso, mesmo que os tópicos a seguir contenham uma discussão geral da segurança de ponta a ponta, seu foco principal está nos recursos únicos para um serviço configurado para usar o Service Bus. Para Para obter mais informações sobre a autenticação do Service Bus e do Access Control, consulte o tópico Building Applications that Use Access Control Services.

Toda associação de retransmissão do Service Bus tem um elemento de associação de segurança, por exemplo, o NetTcpRelaySecurityElement executa as funções de segurança para NetTcpRelayBinding, que contém os valores de segurança a seguir que podem ser especificados de forma programática ou em um arquivo de configuração.

Mode
Curto para o modo de segurança de ponta a ponta, esse valor define a segurança nas trocas de mensagens no Service Bus. O valor programático depende da associação de retransmissão específica; por exemplo, o tipo Microsoft.ServiceBus.EndToEndSecurityMode suporta a associação NetTcpRelayBinding e o valor Microsoft.ServiceBus.EndToEndWebHttpSecurityMode executa este serviço juntamente com a associação WebHttpRelayBinding. Quando usado com a associação NetTcpRelayBinding, essa propriedade pode ser definida para Microsoft.ServiceBus.EndToEndSecurityMode.None, Microsoft.ServiceBus.EndToEndSecurityMode.Message, Microsoft.ServiceBus.EndToEndSecurityMode.Transport ou Microsoft.ServiceBus.EndToEndSecurityMode.TransportWithMessageCredential. O padrão é Microsoft.ServiceBus.EndToEndSecurityMode.Transport, o que significa que as configurações de segurança específicas do transporte estão habilitadas. Se você usar qualquer configuração que inclua Microsoft.ServiceBus.EndToEndSecurityMode.Message ou Microsoft.ServiceBus.EndToEndSecurityMode.Transport, as propriedades adicionais terão que ser definidas. No geral, o valor Mode segue o modelo de programação de segurança padrão do WCF.

Message
Define a segurança em uma base por mensagem caso a segurança de mensagem de ponta a ponta esteja definida como Microsoft.ServiceBus.EndToEndSecurityMode.Message ou TransportWithMessageCredential. Definir um desses valores para a propriedade Mode requer que esta propriedade também seja definida para especificar o tipo de credenciais que serão usadas e, também, para o algoritmo que será usado para ajudar na segurança das credenciais. Assim como com o Mode, a configuração de segurança da mensagem segue o modelo de programação do WCF.

Transport
Esta propriedade é um wrapper para as propriedades de segurança únicas para o elemento de associação de transporte da associação determinada. Por exemplo, a classe Microsoft.ServiceBus.RelayedOnewayTransportSecurity expõe e implementa a configuração Microsoft.ServiceBus.RelayedOnewayTransportSecurity.ProtectionLevel nas associações NetEventRelayBinding e NetOnewayRelayBinding. Em contrapartida, o tipo Microsoft.ServiceBus.HttpRelayTransportSecurity define as credenciais do proxy para as associações BasicHttpRelayBinding e WS2007HttpRelayBinding. Como ocorrido nas propriedades anteriores, a segurança do Transport normalmente segue o modelo de segurança do WCF.

RelayClientAuthenticationType
Controla se os clientes de um serviço precisam apresentar um token de segurança emitido pelo Access Control ao Service Bus ao enviar mensagens. Por isso, a propriedade de segurança é exclusiva para o Service Bus e é o foco dos tópicos nesta seção da documentação. Os serviços sempre precisam ser autenticados com o Access Control e apresentar o token de autorização para o Service Bus; caso contrário, eles não poderão registrar os pontos de extremidade, que se integram aos recursos do Service Bus. Entretanto, os clientes deverão se autenticar com o Service Bus somente se o RelayClientAuthenticationType estiver definido para RelayAccessToken. Configurar RelayClientAuthenticationType como Microsoft.ServiceBus.RelayClientAuthenticationType.None renuncia a necessidade de um token. Se você estiver fornecendo sua própria autenticação ou se você não precisar de autenticação, você poderá optar por recusar a autenticação no cliente (remetente) no segmento do Service Bus da comunicação. O valor padrão é RelayAccessToken.

Além disso, cada associação contém uma propriedade Scheme, que define o esquema usado para codificar as informações. Para associações com base em HTTP (como BasicHttpRelayBinding, , o esquema padrão é HTTPS, que inclui protocolos de segurança próprios.

Nesta seção

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft