Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje informace o autentizaci doručování událostí zpracovatelům událostí.
Přehled
Azure Event Grid používá různé metody ověřování k doručování událostí obslužným rutinám. `
| Metoda ověřování | Podporované obslužné rutiny událostí | Popis |
|---|---|---|
| Přístupový klíč |
|
Přihlašovací údaje hlavního objektu služby Event Grid načítají přístupové klíče. Když ve svém předplatném Azure zaregistrujete poskytovatele prostředků Event Gridu, udělíte službě Event Grid potřebná oprávnění. |
| Identita spravovaného systému & Řízení přístupu na základě role |
|
Povolte identitu spravovaného systému pro dané téma a přidejte ji do příslušné role v cíli. Podrobnosti najdete v tématu Použití identit přiřazených systémem pro doručování událostí. |
| Ověřování tokenem nosiče pomocí webhooku chráněného Microsoft Entra | Webhook | Podrobnosti naleznete v části Ověření doručování událostí do koncových bodů webhooku. |
| Tajný klíč klienta jako parametr dotazu | Webhook | Podrobnosti najdete v části Použití tajného klíče klienta jako parametru dotazu . |
Poznámka:
Pokud chráníte funkci Azure pomocí aplikace Microsoft Entra, musíte použít obecný přístup k webhooku pomocí triggeru HTTP. Při přidávání předplatného použijte koncový bod funkce Azure jako adresu URL webhooku.
Použití identit přiřazených systémem pro doručování událostí
Můžete povolit spravovanou identitu přiřazenou systémem pro téma nebo doménu a pomocí identity předávat události do podporovaných cílů, jako jsou fronty a témata služby Service Bus, centra událostí a účty úložiště.
Postupujte následovně:
- Vytvořte téma nebo doménu s identitou přiřazenou systémem nebo povolte identitu v existujícím tématu nebo doméně. Další informace najdete v tématu Povolení spravované identity pro systémové téma nebo povolení spravované identity pro vlastní téma nebo doménu.
- Přidejte identitu do příslušné role (například odesílatele dat služby Service Bus) v cíli (například fronta služby Service Bus). Další informace najdete v tématu Udělení přístupu identitě k cíli Event Gridu.
- Při vytváření odběrů událostí povolte použití identity k doručování událostí do cíle. Další informace najdete v tématu Vytvoření odběru událostí, který používá identitu.
Podrobné pokyny najdete v tématu Doručování událostí se spravovanou identitou.
Ověřování doručování událostí do koncových bodů webhooku
Následující části popisují, jak ověřovat doručování událostí do koncových bodů webhooku. Použijte ověřovací mechanismus handshake bez ohledu na metodu, kterou používáte. Podrobnosti najdete v tématu Doručování událostí Webhooku.
Použijte Microsoft Entra ID
Koncový bod webhooku, který přijímá události z Event Gridu, můžete zabezpečit pomocí ID Microsoft Entra. Vytvořte aplikaci Microsoft Entra, vytvořte v aplikaci roli a instanční objekt, který autorizuje Event Grid, a nakonfigurujte odběr událostí tak, aby používal aplikaci Microsoft Entra. Zjistěte, jak nakonfigurovat ID Microsoft Entra pomocí Event Gridu.
Použití tajného klíče klienta jako parametru dotazu
Koncový bod webhooku můžete také zabezpečit přidáním parametrů dotazu do cílové adresy URL webhooku zadané v rámci vytváření odběru událostí. Nastavte jeden z parametrů dotazu jako tajný klíč klienta, například přístupový token nebo sdílený tajný klíč. Služba Event Grid zahrnuje všechny parametry dotazu v každém požadavku na doručení události do webhooku. Služba webhooku může načíst a ověřit tajný kód. Pokud aktualizujete tajný klíč klienta, musíte také aktualizovat odběr události. Aby se zabránilo selhání doručení během této rotace tajných kódů, webhook by měl po omezenou dobu přijímat jak staré, tak nové tajné kódy před aktualizací odběru událostí novým tajným kódem.
Vzhledem k tomu, že parametry dotazu můžou obsahovat tajné kódy klienta, zpracujte je opatrně. Ukládají se jako šifrované a nejsou přístupné operátorům služeb. Nejsou zaznamenány v protokolech služby ani ve stopách. Když načtete vlastnosti odběru událostí, cílové parametry dotazu se ve výchozím nastavení nevrátí. Například musíte použít --include-full-endpoint-url parametr v Azure CLI.
Další informace o doručování událostí do webhooků najdete v tématu Doručování událostí webhooku.
Důležité
Azure Event Grid podporuje pouze koncové body webhooku HTTPS .
Ověření koncového bodu pomocí CloudEvents v1.0
Pokud už službu Event Grid znáte, možná znáte metodu handshake ověření koncového bodu, abyste zabránili zneužití. CloudEvents v1.0 implementuje vlastní sémantiku ochrany před zneužitím pomocí metody HTTP OPTIONS. Další informace najdete v tématu HTTP 1.1 Web Hooks pro doručování událostí – verze 1.0. Když pro výstup použijete schéma CloudEvents, služba Event Grid místo mechanismu událostí ověření služby Event Grid používá ochranu před zneužitím CloudEvents v1.0. Další informace najdete v tématu Použití schématu CloudEvents v1.0 se službou Event Grid.
Související obsah
Informace o ověřování klientů, kteří publikují události do témat nebo domén, najdete v tématu Ověřování klientů publikování.