مصادقة تطبيق باستخدام معرف Microsoft Entra للوصول إلى موارد مراكز الأحداث

يوفر Microsoft Azure إدارة متكاملة للتحكم في الوصول للموارد والتطبيقات استنادا إلى معرف Microsoft Entra. تتمثل الميزة الرئيسية لاستخدام معرف Microsoft Entra مع Azure Event Hubs في أنك لم تعد بحاجة إلى تخزين بيانات الاعتماد الخاصة بك في التعليمات البرمجية. بدلاً من ذلك، يمكنك طلب رمز وصول مميز OAuth 2.0 من النظام الأساسي لـهوية Microsoft. اسم المورد المطلوب لطلب رمز مميز هو https://eventhubs.azure.net/، وهو نفس الاسم لجميع المستأجرين / السحاب (بالنسبة لعملاء Kafka، المورد الذي يطلب رمزاً هو https://<namespace>.servicebus.windows.net). يقوم Microsoft Entra بمصادقة أساس الأمان (مستخدم أو مجموعة أو كيان خدمة أو هوية مدارة) يقوم بتشغيل التطبيق. إذا نجحت المصادقة، يقوم معرف Microsoft Entra بإرجاع رمز مميز للوصول إلى التطبيق، ويمكن للتطبيق بعد ذلك استخدام رمز الوصول لتخويل الطلب إلى موارد Azure Event Hubs.

عند تعيين دور لأساس أمان Microsoft Entra، يمنح Azure حق الوصول إلى هذه الموارد لكيان الأمان هذا. يمكن تحديد نطاق الوصول إلى مستوى الاشتراك، أو مجموعة الموارد، أو مساحة اسم مراكز الأحداث، أو أي مورد ضمنها. يمكن لأمان Microsoft Entra تعيين أدوار لمستخدم أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.

إشعار

تعريف الدور هو مجموعة من الأذونات. يتحكم التحكم في الوصول المستند إلى الدور (Azure RBAC) في كيفية فرض هذه الأذونات من خلال تعيين الدور. يتكون تعيين الدور من ثلاثة عناصر، هي: أساس الأمان، وتعريف الدور، والنطاق. لمزيد من المعلومات، راجع فهم الأدوار المختلفة.

أدوار مضمنة لمراكز أحداث Azure

يوفر Azure الأدوار المضمنة التالية في Azure لتخويل الوصول إلى بيانات مراكز الأحداث باستخدام معرف Microsoft Entra وOAuth:

  • مالك بيانات Azure Event Hubs: استخدم هذا الدور لمنح وصول كامل إلى موارد Event Hubs.
  • مرسل بيانات Azure Event Hubs: يمكن لأساس الأمان المعين لهذا الدور إرسال الأحداث إلى مركز أحداث معين أو جميع مراكز الأحداث في مساحة اسم.
  • Azure Event Hubs Data Receiver: يمكن أن يتلقى أساس الأمان المعين لهذا الدور أحداثا من مركز أحداث معين أو جميع مراكز الأحداث في مساحة اسم.

للأدوار المضمنة في سجل المخطط، راجع أدوار تسجيل المخطط.

هام

دعم إصدار المعاينة الخاص بنا إضافة امتيازات الوصول إلى بيانات "مراكز الأحداث" إلى دور المالك أو المساهم. ومع ذلك، لم يعد يتم منح امتيازات الوصول إلى البيانات لدور المالك والمساهم. إذا كنت تستخدم دور المالك أو المساهم، فقم بالتبديل إلى استخدام دور مالك بيانات Azure Event Hubs.

المصادقة من تطبيق

تتمثل الميزة الرئيسية لاستخدام معرف Microsoft Entra مع مراكز الأحداث في أن بيانات الاعتماد الخاصة بك لم تعد بحاجة إلى تخزينها في التعليمات البرمجية الخاصة بك. بدلاً من ذلك، يمكنك طلب رمز وصول OAuth 2.0 من النظام الأساسي للهويات في Microsoft. يقوم Microsoft Entra بمصادقة أساس الأمان (مستخدم أو مجموعة أو كيان خدمة) الذي يقوم بتشغيل التطبيق. إذا نجحت المصادقة، يقوم معرف Microsoft Entra بإرجاع الرمز المميز للوصول إلى التطبيق، ويمكن للتطبيق بعد ذلك استخدام رمز الوصول لتخويل الطلبات إلى مراكز أحداث Azure.

توضح الأقسام التالية كيفية تكوين التطبيق الأصلي أو تطبيق الويب الخاص بك للمصادقة باستخدام النظام الأساسي لهوية Microsoft 2.0. لمزيد من المعلومات حول نظام هوية Microsoft 2.0، راجع نظرة عامة على نظام تعريف Microsoft (الإصدار 2.0).

للحصول على نظرة عامة حول تدفق منح التعليمات البرمجية OAuth 2.0، راجع تخويل الوصول إلى تطبيقات الويب Microsoft Entra باستخدام تدفق منح التعليمات البرمجية OAuth 2.0.

تسجيل التطبيق الخاص بك مع مستأجر Microsoft Entra

الخطوة الأولى في استخدام معرف Microsoft Entra لتخويل موارد مراكز الأحداث هي تسجيل تطبيق العميل الخاص بك مع مستأجر Microsoft Entra من مدخل Microsoft Azure. اتبع الخطوات في التشغيل السريع: تسجيل تطبيق باستخدام النظام الأساسي للهويات في Microsoft لتسجيل تطبيق في معرف Microsoft Entra الذي يمثل تطبيقك الذي يحاول الوصول إلى موارد مراكز الأحداث.

عند تسجيل تطبيق العميل الخاص بك، يمكنك توفير معلومات حول التطبيق. يوفر معرف Microsoft Entra بعد ذلك معرف العميل (يسمى أيضا معرف التطبيق) الذي يمكنك استخدامه لربط التطبيق الخاص بك بوقت تشغيل Microsoft Entra. لمعرفة المزيد حول معرف العميل، راجع التطبيق والكائنات الأساسية للخدمة في معرف Microsoft Entra.

إشعار

إذا قمت بتسجيل التطبيق الخاص بك كتطبيق أصلي، يمكنك تحديد أي URI صالح لعنوان URI لإعادة التوجيه. بالنسبة للتطبيقات الأصلية، لا يجب أن تكون هذه القيمة عنوان URL حقيقي. بالنسبة لتطبيقات الويب، يجب أن يكون URI لإعادة التوجيه URI صالحًا، لأنه يحدد عنوان URL الذي يتم توفير الرموز المميزة له.

بعد تسجيل التطبيق الخاص بك، سترى معرف التطبيق (العميل) ضمن الإعدادات:

لقطة شاشة تعرض صفحة تسجيل التطبيق مع تمييز معرف التطبيق.

إنشاء سر عميل

يحتاج التطبيق إلى سر العميل لإثبات هويته عند طلب رمز مميز. اتبع الخطوات من إضافة سر عميل لإنشاء سر عميل لتطبيقك في معرف Microsoft Entra.

تعيين أدوار Azure باستخدام مدخل Microsoft Azure

قم بتعيين أحد أدوار Event Hubs إلى مدير خدمة التطبيق في النطاق المطلوب (مساحة اسم Event Hubs، مجموعة الموارد، الاشتراك). للحصول على خطوات تفصيلية، راجع تعيين أدوار Azure باستخدام مدخل Azure.

بمجرد تحديد الدور ونطاقه، يمكنك اختبار هذا السلوك باستخدام عينات في موقع GitHub هذا. لمعرفة المزيد حول إدارة الوصول إلى موارد Azure باستخدام التحكم في الوصول المستند إلى دور Azure (RBAC) ومدخل Azure، راجع هذه المقالة.

مكتبات العميل للحصول على الرمز المميز

بمجرد تسجيل التطبيق الخاص بك ومنحه أذونات لإرسال/تلقي البيانات في Azure Event Hubs، يمكنك إضافة تعليمة برمجية إلى التطبيق الخاص بك لمصادقة أساس أمان والحصول على رمز OAuth 2.0 المميز. للمصادقة والحصول على الرمز المميز، يمكنك استخدام إحدى مكتبات مصادقة النظام الأساسي لهوية Microsoft أو مكتبة أخرى مفتوحة المصدر تدعم OpenID أو Connect 1.0. يمكن للتطبيق الخاص بك بعد ذلك استخدام رمز الوصول لتفويض طلب ضد Azure Event Hubs.

بالنسبة للسيناريوهات التي يتم فيها دعم الحصول على الرموز المميزة، راجع قسم السيناريوهات في مكتبة مصادقة Microsoft (MSAL) لمستودع .NET GitHub.

العينات

راجع المقالات التالية ذات الصلة: