Autorisieren des Zugriffs auf Azure Event Hubs

Jedes Mal, wenn Sie Ereignisse für einen Event Hub veröffentlichen oder Ereignisse von einem Event Hub nutzen, versucht Ihr Client, auf Event Hubs-Ressourcen zuzugreifen. Jede Anforderung an eine sichere Ressource muss autorisiert sein, damit der Dienst sicherstellen kann, dass der Client über die erforderlichen Berechtigungen zum Veröffentlichen oder Nutzen der Daten verfügt.

Azure Event Hubs bietet die folgenden Optionen für die Autorisierung des Zugriffs auf sichere Ressourcen:

• Microsoft Entra ID
• Shared Access Signature (SAS)

Hinweis

Dieser Artikel gilt sowohl für Event Hubs als auch für Apache Kafka-Szenarien.

Microsoft Entra ID

Die Microsoft Entra-Integration in Event Hubs-Ressourcen bietet rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure für eine präzise Steuerung des Zugriffs eines Clients auf Ressourcen. Mit Azure RBAC können einem Sicherheitsprinzipal Berechtigungen erteilt werden. Bei einem Sicherheitsprinzipal kann es sich um einen Benutzer, um eine Gruppe oder um einen Anwendungsdienstprinzipal handeln. Microsoft Entra authentifiziert den Sicherheitsprinzipal und gibt ein OAuth 2.0-Token zurück. Das Token kann zum Autorisieren einer Anforderung für den Zugriff auf eine Event Hubs-Ressource verwendet werden.

Weitere Informationen zur Authentifizierung mit Microsoft Entra ID finden Sie in den folgenden Artikeln:

• Authentifizieren von Anforderungen an Azure Event Hubs mithilfe von Microsoft Entra ID
• Autorisieren des Zugriffs auf Event Hubs-Ressourcen mithilfe von Microsoft Entra ID.

Shared Access Signatures

Shared Access Signatures (SAS) für Event Hubs bieten begrenzten delegierten Zugriff auf Event Hubs-Ressourcen. Einschränkungen des Zeitintervalls, für das die Signatur gültig ist, oder von Berechtigungen, die sie gewährt, bieten Flexibilität beim Verwalten von Ressourcen. Weitere Informationen finden Sie unter Authentifizieren mit Shared Access Signatures (SAS).

Das Autorisieren von Benutzern oder Anwendungen mithilfe eines von Microsoft Entra ID zurückgegebenen OAuth 2.0-Tokens bietet mehr Sicherheit und Benutzerfreundlichkeit als die Autorisierung per SAS (Shared Access Signature). Mit Microsoft Entra ID ist es nicht erforderlich, Zugriffstoken mit Ihrem Code zu speichern und potenzielle Sicherheitsrisiken einzugehen. Sie können weiterhin Shared Access Signatures (SAS) verwenden, um differenzierte Zugriffsrechte für Event Hubs-Ressourcen zu gewähren. Microsoft Entra ID bietet jedoch ähnliche Funktionen ohne die Notwendigkeit, SAS-Token verwalten oder sich um das Widerrufen einer kompromittierten SAS kümmern zu müssen.

Standardmäßig sind alle Event Hubs-Ressourcen gesichert und stehen nur dem Kontobesitzer zur Verfügung. Obwohl Sie eine der oben beschriebenen Autorisierungsstrategien verwenden können, um Clients den Zugriff auf Event Hubs-Ressourcen zu gewähren. Microsoft empfiehlt, falls möglich, die Verwendung von Microsoft Entra ID für maximale Sicherheit und Benutzerfreundlichkeit.

Weitere Informationen zur Autorisierung mit SAS finden Sie unter Autorisieren des Zugriffs auf Event Hubs-Ressourcen mithilfe von Shared Access Signatures.

Nächste Schritte

• Sehen Sie sich die in unserem GitHub-Repository veröffentlichten Azure RBAC-Beispiele an.
• Weitere Informationen finden Sie in folgenden Artikeln:
  • Authentifizieren von Anforderungen an Azure Event Hubs über eine Anwendung mithilfe von Microsoft Entra ID
  • Authentifizieren einer verwalteten Identität mit Microsoft Entra ID für den Zugriff auf Event Hubs-Ressourcen
  • Authentifizieren von Anforderungen an Azure Event Hubs mithilfe von Shared Access Signature
  • Autorisieren des Zugriffs auf Event Hubs-Ressourcen mithilfe von Microsoft Entra ID
  • Autorisieren des Zugriffs auf Event Hubs-Ressourcen mit Shared Access Signature