Sicurezza

In questo argomento viene descritto il modello di protezione degli hub di notifica di Azure. Poiché gli hub di notifica sono un'entità del bus di servizio, implementano lo stesso modello di sicurezza del bus di servizio. Per altre informazioni, vedere gli argomenti sull’ Autenticazione per il bus di servizio .

Sicurezza SAS (Shared Access Secret)

Gli hub di notifica implementano uno schema di sicurezza a livello di entità denominato firma di accesso condiviso. Questo schema consente alle entità di messaggistica di dichiarare nella descrizione fino a 12 regole di autorizzazione che concedono diritti sull'entità.

Ogni regola contiene un nome, un valore di chiave (segreto condiviso) e un set di diritti, come illustrato nella sezione "Attestazioni di sicurezza". Quando si crea un hub di notifica, vengono create automaticamente due regole: uno con diritti di ascolto (utilizzata dall'applicazione client) e una con tutti i diritti (utilizzata dal back-end dell’app).

Quando si esegue la gestione delle registrazioni dalle app client, se le informazioni inviate tramite notifiche non sono riservate (ad esempio aggiornamenti meteorologici), un modo comune per accedere a un hub di notifica è assegnare il valore della chiave della regola di accesso solo in ascolto all'app client e il valore della chiave della regola di accesso completo al back-end dell'app.

Non è consigliabile integrare il valore della chiave nelle applicazioni client di Windows Store. Un modo per evitare di integrare il valore della chiave è consentire all'app client di recuperarlo dal back-end dell'app all'avvio.

È importante comprendere che la chiave con accesso in ascolto consente a un’app client la registrazione per qualsiasi tag. Se l'app deve limitare le registrazioni a tag specifici su client specifici (ad esempio, quando i tag rappresentano gli ID utente), il back-end dell’app deve eseguire le registrazioni. Per altre informazioni, vedere Gestione della registrazione. Si noti che in questo modo, l'app client non avrà accesso diretto agli hub di notifica.

Attestazioni di sicurezza

Analogamente ad altre entità, le operazioni degli hub di notifica sono consentite per tre attestazioni di sicurezza: ascolto, invio e gestione.

Attestazione	Descrizione	Operazioni consentite
Attesa	Creazione o aggiornamento, lettura ed eliminazione di singole registrazioni.	Creare o aggiornare una registrazione. Leggere una registrazione. Leggere tutte le registrazioni relative a un handle. Eliminare una registrazione.
Invia	Invio di messaggi all'hub di notifica.	Inviare un messaggio.
Gestire	Creazione, lettura, aggiornamento o eliminazione su hub di notifica, incluso l'aggiornamento di chiavi di sicurezza e credenziali PNS, e lettura di registrazioni in base a tag.	Creare, aggiornare, leggere o eliminare hub di notifica. Leggere registrazioni in base a tag.

Gli hub di notifica accettano attestazioni concesse dai token del Controllo di accesso di Microsoft Azure e dai token di firma generati con chiavi condivise configurate direttamente nell’hub di notifica.