تخويل الوصول إلى موارد مراكز الأحداث باستخدام معرف Microsoft Entra

تدعم Azure Event Hubs استخدام معرف Microsoft Entra لتخويل الطلبات إلى موارد مراكز الأحداث. باستخدام معرف Microsoft Entra، يمكنك استخدام التحكم في الوصول استنادا إلى الدور (RBAC) في Azure لمنح أذونات لمدير أمان، والذي يمكن أن يكون مستخدما أو كيان خدمة تطبيق. لمعرفة المزيد حول الأدوار وتعيينات الأدوار، يرجى مراجعة فهم الأدوار المختلفة.

نظرة عامة

عندما يحاول أساس أمان (مستخدم أو تطبيق) الوصول إلى مورد مراكز الأحداث، يجب أن يكون الطلب معتمدًا. باستخدام معرف Microsoft Entra، يعد الوصول إلى مورد عملية من خطوتين.

  1. يتم، أولاً مصادقة هوية أساس الأمان، ويتم إرجاع رمز OAuth 2.0 المميز. اسم المورد لطلب رمز مميز هو https://eventhubs.azure.net/، وهو نفسه لجميع السحب/ المستأجرين. لعملاء Kafka، المورد لطلب رمز مميز هو https://<namespace>.servicebus.windows.net.
  2. يتم، بعد ذلك تمرير الرمز المميز كجزء من طلب إلى خدمة مراكز الأحداث؛ لتفويض الوصول إلى المورد المحدد.

تتطلب خطوة المصادقة أن يحتوي طلب التطبيق على رمز وصول OAuth 2.0 المميز عند وقت التشغيل. إذا كان أحد التطبيقات قيد التشغيل داخل كيان Azure مثل Azure VM أو مجموعة مقياس الجهاز الظاهري أو تطبيق Azure Function، فيمكنه استخدام هوية مدارة للوصول إلى الموارد. لمعرفة كيفية مصادقة الطلبات التي تم إجراؤها بواسطة هوية مدارة إلى خدمة مراكز الأحداث، راجع مصادقة الوصول إلى موارد مراكز الأحداث باستخدام معرف Microsoft Entra والهويات المدارة لموارد Azure.

تتطلب خطوة التفويض تعيين دور أو أكثر من أدوار Azure إلى أساس الأمان. توفر مراكز أحداث Azure أدوار Azure التي تتضمن مجموعات من الأذونات لموارد مراكز الأحداث. تحدد الأدوار التي تم تعيينها لأصل أمان الأذونات التي سيكون لها الأساسي. لمزيد من المعلومات حول أدوار Azure، راجع أدوار Azure المضمنة لمراكز أحداث Azure.

يمكن أيضا للتطبيقات الأصلية وتطبيقات الويب التي تقدم طلبات إلى مراكز الأحداث تخويلها باستخدام معرف Microsoft Entra. لمعرفة كيفية طلب رمز مميز للوصول واستخدامه لتخويل الطلبات لموارد مراكز الأحداث، راجع مصادقة الوصول إلى Azure Event Hubs باستخدام معرف Microsoft Entra من أحد التطبيقات.

تعيين أدوار Azure لحقوق الوصول

تخول Microsoft Entra حقوق الوصول إلى الموارد الآمنة من خلال التحكم في الوصول المستند إلى الدور Azure (Azure RBAC). تحدد مراكز أحداث Azure مجموعة من أدوار Azure المضمنة، والتي تتضمن مجموعات شائعة من الأذونات المستخدمة للوصول إلى بيانات مركز الأحداث، ويمكنك أيضًا تحديد أدوار مخصصة للوصول إلى البيانات.

عند تعيين دور Azure إلى أساس أمان Microsoft Entra، يمنح Azure الوصول إلى هذه الموارد لكيان الأمان هذا. يمكن تحديد نطاق الوصول إلى مستوى الاشتراك، أو مجموعة الموارد، أو مساحة اسم مراكز الأحداث، أو أي مورد ضمنها. يمكن أن يكون أساس أمان Microsoft Entra مستخدما أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.

أدوار Azure مضمنة لمراكز أحداث Azure

يوفر Azure الأدوار المضمنة التالية في Azure لتخويل الوصول إلى بيانات مراكز الأحداث باستخدام معرف Microsoft Entra وOAuth:

الدور ‏‏الوصف
مالك بيانات مراكز أحداث Azure استخدم هذا الدور؛ لتمنح حق الوصول الكامل إلى موارد مراكز الأحداث.
مرسل بيانات Azure Event Hubs استخدم هذا الدور؛ لتمنح الوصول المرسل إلى موارد مراكز الأحداث.
جهاز استقبال بيانات Azure Event Hubs استخدم هذا الدور لمنح الوصول المستهلك/ المستقبل إلى موارد مراكز الأحداث.

للأدوار المضمنة في سجل المخطط، راجع أدوار تسجيل المخطط.

نطاق المورد

قبل تعيين دور Azure إلى أساس أمان، حدد نطاق الوصول الذي يجب أن يكون لأساس الأمان. تملي أفضل الممارسات أنه من الأفضل دائما منح أضيق نطاق ممكن فقط.

توضح القائمة التالية المستويات التي يمكنك من خلالها تحديد نطاق الوصول إلى موارد مراكز الأحداث، بدءًا من النطاق الأضيق:

  • مجموعة المستهلكين: في هذا النطاق، ينطبق تعيين الدور على هذا الكيان فقط. لا يدعم مدخل Azure، حاليًا، تعيين دور Azure إلى أساس أمان في هذا المستوى.
  • مركز الأحداث: ينطبق تعيين الدور على مراكز الأحداث ومجموعات المستهلكين الخاصة بها.
  • مساحة الاسم: تعيين دور يمتد من مخطط شبكي كامل من لوحات الوصل الحدث تحت مساحة الاسم وإلى مجموعة المستهلكين المقترنة به.
  • مجموعة الموارد: ينطبق تعيين الدور على جميع موارد "مراكز الأحداث" ضمن مجموعة الموارد.
  • الاشتراك: ينطبق تعيين الدور على جميع موارد "مراكز الأحداث" في جميع مجموعات الموارد في الاشتراك.

إشعار

  • ضع في اعتبارك أن تعيينات دور Azure قد تستغرق ما يصل إلى خمس دقائق للنشر.
  • ينطبق هذا المحتوى على كل من مراكز الأحداث، ومراكز الأحداث الخاصة بـ Apache Kafka. لمزيد من المعلومات حول مراكز الأحداث لدعم Kafka، راجع مراكز الأحداث ل Kafka - الأمان والمصادقة.

لمزيد من المعلومات حول كيفية تعريف الأدوار المضمنة، راجع فهم تعريفات الدور. للحصول على معلومات حول إنشاء أدوار Azure المخصصة، راجع أدوار Azure المخصصة.

العينات

راجع المقالات التالية ذات الصلة: