مصادقة تطبيق باستخدام معرف Microsoft Entra للوصول إلى موارد مراكز الأحداث
يوفر Microsoft Azure إدارة متكاملة للتحكم في الوصول للموارد والتطبيقات استنادا إلى معرف Microsoft Entra. تتمثل الميزة الرئيسية لاستخدام معرف Microsoft Entra مع Azure Event Hubs في أنك لم تعد بحاجة إلى تخزين بيانات الاعتماد الخاصة بك في التعليمات البرمجية. بدلاً من ذلك، يمكنك طلب رمز وصول مميز OAuth 2.0 من النظام الأساسي لـهوية Microsoft. اسم المورد المطلوب لطلب رمز مميز هو https://eventhubs.azure.net/، وهو نفس الاسم لجميع المستأجرين / السحاب (بالنسبة لعملاء Kafka، المورد الذي يطلب رمزاً هو https://<namespace>.servicebus.windows.net). يقوم Microsoft Entra بمصادقة أساس الأمان (مستخدم أو مجموعة أو كيان خدمة) الذي يقوم بتشغيل التطبيق. إذا نجحت المصادقة، يقوم معرف Microsoft Entra بإرجاع رمز مميز للوصول إلى التطبيق، ويمكن للتطبيق بعد ذلك استخدام رمز الوصول لتخويل الطلب إلى موارد Azure Event Hubs.
عند تعيين دور لأساس أمان Microsoft Entra، يمنح Azure حق الوصول إلى هذه الموارد لكيان الأمان هذا. يمكن تحديد نطاق الوصول إلى مستوى الاشتراك، أو مجموعة الموارد، أو مساحة اسم مراكز الأحداث، أو أي مورد ضمنها. يمكن لأمان Microsoft Entra تعيين أدوار لمستخدم أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.
إشعار
تعريف الدور هو مجموعة من الأذونات. يتحكم التحكم في الوصول المستند إلى الدور (Azure RBAC) في كيفية فرض هذه الأذونات من خلال تعيين الدور. يتكون تعيين الدور من ثلاثة عناصر، هي: أساس الأمان، وتعريف الدور، والنطاق. لمزيد من المعلومات، راجع فهم الأدوار المختلفة.
أدوار مضمنة لمراكز أحداث Azure
يوفر Azure الأدوار المضمنة التالية في Azure لتخويل الوصول إلى بيانات مراكز الأحداث باستخدام معرف Microsoft Entra وOAuth:
- مالك بيانات Azure Event Hubs: استخدم هذا الدور لمنح وصول كامل إلى موارد Event Hubs.
- مرسل بيانات مراكز الأحداث: استخدم هذا الدور لمنح حق الوصول إلى موارد مراكز الأحداث.
- مستلم بيانات محاور الأحداث Azure: استخدم هذا الدور لمنح حق الوصول إلى موارد "محاور الأحداث".
للأدوار المضمنة في سجل المخطط، راجع أدوار تسجيل المخطط.
هام
دعم إصدار المعاينة الخاص بنا إضافة امتيازات الوصول إلى بيانات "مراكز الأحداث" إلى دور المالك أو المساهم. ومع ذلك، لم يعد يتم منح امتيازات الوصول إلى البيانات لدور المالك والمساهم. إذا كنت تستخدم دور المالك أو المساهم، فقم بالتبديل إلى استخدام دور مالك بيانات Azure Event Hubs.
المصادقة من تطبيق
تتمثل الميزة الرئيسية لاستخدام معرف Microsoft Entra مع مراكز الأحداث في أن بيانات الاعتماد الخاصة بك لم تعد بحاجة إلى تخزينها في التعليمات البرمجية الخاصة بك. بدلاً من ذلك، يمكنك طلب رمز وصول OAuth 2.0 من النظام الأساسي للهويات في Microsoft. يقوم Microsoft Entra بمصادقة أساس الأمان (مستخدم أو مجموعة أو كيان خدمة) الذي يقوم بتشغيل التطبيق. إذا نجحت المصادقة، يقوم معرف Microsoft Entra بإرجاع الرمز المميز للوصول إلى التطبيق، ويمكن للتطبيق بعد ذلك استخدام رمز الوصول لتخويل الطلبات إلى مراكز أحداث Azure.
توضح الأقسام التالية كيفية تكوين التطبيق الأصلي أو تطبيق الويب الخاص بك للمصادقة باستخدام النظام الأساسي لهوية Microsoft 2.0. لمزيد من المعلومات حول نظام هوية Microsoft 2.0، راجع نظرة عامة على نظام تعريف Microsoft (الإصدار 2.0).
للحصول على نظرة عامة حول تدفق منح التعليمات البرمجية OAuth 2.0، راجع تخويل الوصول إلى تطبيقات الويب Microsoft Entra باستخدام تدفق منح التعليمات البرمجية OAuth 2.0.
تسجيل التطبيق الخاص بك مع مستأجر Microsoft Entra
الخطوة الأولى في استخدام معرف Microsoft Entra لتخويل موارد مراكز الأحداث هي تسجيل تطبيق العميل الخاص بك مع مستأجر Microsoft Entra من مدخل Microsoft Azure. اتبع الخطوات في التشغيل السريع: تسجيل تطبيق باستخدام النظام الأساسي للهويات في Microsoft لتسجيل تطبيق في معرف Microsoft Entra الذي يمثل تطبيقك الذي يحاول الوصول إلى موارد مراكز الأحداث.
عندما تُسجل تطبيق العميل الخاص بك، فإنك تقدم معلومات حول التطبيق إلى AD. يوفر معرف Microsoft Entra بعد ذلك معرف العميل (يسمى أيضا معرف التطبيق) الذي يمكنك استخدامه لربط التطبيق الخاص بك بوقت تشغيل Microsoft Entra. لمعرفة المزيد حول معرف العميل، راجع التطبيق والكائنات الأساسية للخدمة في معرف Microsoft Entra.
إشعار
إذا قمت بتسجيل التطبيق الخاص بك كتطبيق أصلي، يمكنك تحديد أي URI صالح لعنوان URI لإعادة التوجيه. بالنسبة للتطبيقات الأصلية، لا يجب أن تكون هذه القيمة عنوان URL حقيقي. بالنسبة لتطبيقات الويب، يجب أن يكون URI لإعادة التوجيه URI صالحًا، لأنه يحدد عنوان URL الذي يتم توفير الرموز المميزة له.
بعد تسجيل طلبك، سترى معرّف التطبيق (العميل) ضمن الإعدادات:
إنشاء سر عميل
يحتاج التطبيق إلى سر العميل لإثبات هويته عند طلب رمز مميز. اتبع الخطوات من إضافة سر عميل لإنشاء سر عميل لتطبيقك في معرف Microsoft Entra.
تعيين أدوار Azure باستخدام مدخل Microsoft Azure
قم بتعيين أحد أدوار Event Hubs إلى مدير خدمة التطبيق في النطاق المطلوب (مساحة اسم Event Hubs، مجموعة الموارد، الاشتراك). للحصول على خطوات تفصيلية، راجع تعيين أدوار Azure باستخدام مدخل Azure.
بمجرد تحديد الدور ونطاقه، يمكنك اختبار هذا السلوك باستخدام عينات في موقع GitHub هذا. لمعرفة المزيد حول إدارة الوصول إلى موارد Azure باستخدام Azure RBAC ومدخل Microsoft Azure، راجع هذه المقالة.
مكتبات العميل للحصول على الرمز المميز
بممخزون تسجيل التطبيق الخاص بك ومنحه أذونات لإرسال / تلقي البيانات في Azure Event Hubs، يمكنك إضافة رمز إلى التطبيق الخاص بك لمصادقة مبدأ الأمان والحصول على رمز OAuth 2.0 المميز. للمصادقة والحصول على الرمز المميز، يمكنك استخدام إحدى مكتبات مصادقة النظام الأساسي لهوية Microsoft أو مكتبة أخرى مفتوحة المصدر تدعم OpenID أو Connect 1.0. يمكن للتطبيق الخاص بك بعد ذلك استخدام رمز الوصول لتفويض طلب ضد Azure Event Hubs.
بالنسبة للسيناريوهات التي يتم فيها دعم الحصول على الرموز المميزة، راجع قسم السيناريوهات في مكتبة مصادقة Microsoft (MSAL) لمستودع .NET GitHub.
العينات
- نماذج RBAC باستخدام حزمة .NET Microsoft.Azure.EventHubs القديمة. نحن نعمل على إنشاء إصدار جديد من هذا النموذج باستخدام أحدث حزمة Azure.Messaging.EventHubs. راجع الهوية المدارة المحولة بالفعل.
- نموذج RBAC باستخدام حزمة Java com.microsoft.azure.eventhubs القديمة. يمكنك استخدام دليل الترحيل لترحيل هذا النموذج لاستخدام الحزمة الجديدة (
com.azure.messaging.eventhubs). لمعرفة المزيد حول استخدام الحزمة الجديدة بشكل عام، راجع العينات هنا.
الخطوات التالية
- لمعرفة المزيد حول التحكم في الوصول استنادًا إلى الدور Azure، راجع ما هو التحكم في الوصول استنادًا إلى الدور Azure (Azure RBAC)؟
- لمعرفة كيفية تعيين وإدارة تعيينات دور Azure باستخدام Azure PowerShell أو Azure CLI أو واجهة برمجة تطبيقات REST، راجع هذه المقالات:
راجع المقالات التالية ذات الصلة: