tienda-balay.com.es
image
image
image
image
image
image

Azure cdn token authentication

Utilisation d’Azure Content Delivery Network avec SAS

Lorsque vous configurez un compte de stockage pour Azure Content Delivery Network à utiliser pour mettre en cache le contenu, par défaut, toute personne connaissant les URL de vos conteneurs de stockage peut accéder aux fichiers que vous avez chargés. Pour protéger les fichiers de votre compte de stockage, vous pouvez définir l’accès de vos conteneurs de stockage de public à privé. Cependant, si vous le faites, personne ne peut accéder à vos fichiers.

Si vous souhaitez accorder un accès limité aux conteneurs de stockage privés, vous pouvez utiliser la fonctionnalité de signature d’accès partagé (SAS) de votre compte de stockage Azure. Une SAP est une URI qui accorde des droits d’accès restreints à vos ressources de stockage Azure sans exposer votre clé de compte. Vous pouvez fournir une SAP aux clients auxquels vous ne faites pas confiance avec votre clé de compte de stockage, mais à qui vous souhaitez déléguer l’accès à certaines ressources de compte de stockage. En distribuant un accès partagé URI de signature à ces clients, vous leur accordez l’accès à une ressource pour une période de temps spécifiée.

Avec une signature d’accès partagé, vous pouvez définir divers paramètres d’accès à un objet blob, tels que les heures de début et d’expiration, les autorisations (lecture/écriture) et les plages d’adresses IP. Cet article explique comment utiliser SAS avec Azure Content Delivery Network. Pour plus d’informations sur SAS, y compris sur la façon de la créer et ses options de paramètre, consultez Utilisation des signatures d’accès partagé (SAP).

Configuration d’Azure Content Delivery Network pour qu’il fonctionne avec des SAS de stockage

Les deux options suivantes sont recommandées pour l’utilisation de SAS avec Azure Content Delivery Network. Toutes les options supposent que vous avez déjà créé une signature d’accès partagé fonctionnelle (voir les conditions préalables).

Pour

commencer, créez un compte de stockage, puis générez une SAP pour votre ressource. Vous pouvez générer deux types de signatures d’accès stockées : une SAP de service ou une SAP de compte. Pour en savoir plus informations, consultez Types de signatures d’accès partagé.

Une fois que vous avez généré un jeton SAP, vous pouvez accéder à votre fichier de stockage d’objets blob en l’ajoutant à votre URL. Cette URL a le format suivant :

Par exemple :

Pour plus d’informations sur la définition des paramètres, consultez Considérations relatives aux paramètres SAS et Paramètres de signature d’accès partagé.

Option 1 : Utilisation de SAS avec transfert vers le stockage d’objets blob à partir d’Azure Content Delivery Network

Cette option est la plus simple et utilise un seul jeton SAS, qui est transmis d’Azure Content Delivery Network au serveur d’origine.

  1. Sélectionnez un point de terminaison, Règles de mise en cache , puis Mettre en cache chaque URL unique dans la liste de mise en cache de la chaîne de requête.

  2. Après avoir configuré SAS sur votre compte de stockage, vous doit utiliser le jeton SAS avec les URL du point de terminaison du réseau de diffusion de contenu et du serveur d’origine pour accéder au fichier.

    L’URL du point de terminaison du réseau de diffusion de contenu résultante a le format suivant :

    Par

    exemple :

  3. Affinez la durée du cache à l’aide de règles de mise en cache ou en ajoutant des en-têtes au serveur d’origine. Étant donné qu’Azure Content Delivery Network traite le jeton SAS comme une simple chaîne de requête, il est recommandé de définir une durée de mise en cache qui expire au moment de l’expiration de la signature d’accès partagé ou avant. Sinon, si un fichier est mis en cache pendant une durée plus longue que celle de la signature d’accès partagé, il peut être accessible à partir du serveur d’origine du réseau de distribution de contenu Azure une fois le délai d’expiration de la signature d’accès partagé écoulé. Si cette situation se produit et que vous souhaitez rendre votre fichier mis en cache inaccessible, vous devez effectuer une opération de purge sur le fichier pour l’effacer du cache. Pour plus d’informations sur la définition de l’icône durée du cache sur Azure Content Delivery Network, consultez Contrôler le comportement de mise en cache d’Azure Content Delivery Network à l’aide de règles de mise en cache.

Option 2 : Utilisation de l’authentification par jeton de sécurité du réseau de distribution de contenu avec une règle de réécriture

Pour utiliser l’authentification par jeton de sécurité du réseau de distribution de contenu Azure, vous devez disposer d’un profil Azure CDN Premium à partir d’Edgio. Cette option est la plus sécurisée et la plus personnalisable. L’accès client est basé sur les paramètres de sécurité que vous définissez sur le jeton de sécurité. Une fois que vous avez créé et configuré le jeton de sécurité, il est requis sur toutes les URL de point de terminaison du réseau de diffusion de contenu. Toutefois, en raison de la règle de réécriture d’URL, le jeton SAS n’est pas requis sur le point de terminaison du réseau de distribution de contenu. Si le jeton SAS n’est plus valide par la suite, le réseau de distribution de contenu Azure ne peut pas revalider le contenu à partir du serveur d’origine.

  1. Créer un Azure Jeton de sécurité du réseau de diffusion de contenu et activez-le à l’aide du moteur de règles du point de terminaison du réseau de diffusion de contenu et du chemin d’accès où vos utilisateurs peuvent accéder au fichier.

    L’URL d’un point de terminaison de jeton de sécurité a le format suivant :

    Par exemple :

    Les options de paramètre pour une authentification par jeton de sécurité sont différentes des options de paramètre pour un jeton SAS. Si vous choisissez d’utiliser un délai d’expiration lorsque vous créez un jeton de sécurité, vous devez lui attribuer la même valeur que le délai d’expiration du jeton SAP. Cela permet de s’assurer que le délai d’expiration est prévisible.

  2. Utilisez le moteur de règles pour créer une règle de réécriture d’URL afin d’activer l’accès par jeton SAS à tous les objets blob du conteneur. Les nouvelles règles prennent jusqu’à 4 heures pour se propager.

    L’exemple de règle de réécriture d’URL suivant utilise un modèle d’expression régulière avec un groupe de capture et un point de terminaison nommé sasstoragedemo :

    Source :

    Destination :

  3. Si vous renouvelez la signature d’accès partagé, assurez-vous de mettre à jour la règle de réécriture d’URL avec le nouveau jeton SAP.

Étant donné que les paramètres SAS ne sont pas visibles par Azure Content Delivery Network, Azure Content Delivery Network ne peut pas modifier son comportement de diffusion en fonction de ceux-ci. Les restrictions de paramètres définies s’appliquent uniquement aux demandes que le réseau de distribution de contenu Azure envoie au serveur d’origine, et non aux demandes du client au réseau de distribution de contenu Azure. Cette distinction est importante à prendre en compte lorsque vous définissez des paramètres SAS. Si ces fonctionnalités avancées sont requises et que vous utilisez l’option 2, définissez les restrictions appropriées sur le jeton de sécurité Azure Content Delivery Network.

Nom du paramètre SAS Description
Démarrer Heure à laquelle Azure Content Delivery Network peut commencer à accéder au fichier blob. En raison de l’inclinaison de l’horloge (lorsqu’un signal d’horloge arrive à des heures différentes pour différents composants), choisissez une heure 15 minutes plus tôt si vous souhaitez que la ressource soit disponible immédiatement.
Fin Délai après lequel le réseau de distribution de contenu Azure ne peut plus accéder au fichier blob. Les fichiers précédemment mis en cache sur Azure Content Delivery Network sont toujours accessibles. Pour contrôler le délai d’expiration du fichier, définissez le délai d’expiration approprié sur le jeton de sécurité Azure Content Delivery Network ou purgez la ressource.
Adresses IP autorisées Facultatif. Si vous utilisez Azure CDN d’Edgio , vous pouvez définir ce paramètre sur les plages définies dans Azure Content Delivery Network à partir des plages d’adresses IP du serveur Edge Edgio.
Protocoles autorisés Les protocoles autorisés pour une demande effectuée avec le compte SAS. Le paramètre HTTPS est recommandé.

Pour plus d’informations sur les SAS, consultez les articles suivants :

Pour plus d’informations sur la configuration de l’authentification par jeton, consultez Sécurisation des ressources Azure Content Delivery Network à l’aide de l’authentification par jeton.

Copyright ©tienda-balay.com.es 2025