Autorizar el acceso a los recursos de Event Hubs mediante Microsoft Entra ID

  • Artículo

Azure Event Hubs admite el uso de Microsoft Entra ID para autorizar solicitudes a los recursos de Event Hubs. Con Microsoft Entra ID, puede utilizar el control de acceso basado en roles de Azure (Azure RBAC) para otorgar permisos a un principal de seguridad, que puede ser un usuario o una entidad de servicio de aplicación. Para más información sobre los roles y las asignaciones de roles, consulte Descripción de los distintos roles.

Información general

Cuando una entidad de seguridad (un usuario o una aplicación) intenta acceder a un recurso de Event Hubs, la solicitud debe estar autorizada. Con Microsoft Entra ID, el acceso a un recurso es un proceso de dos pasos.

  1. En primer lugar, se autentica la identidad de la entidad de seguridad y se devuelve un token de OAuth 2.0. El nombre del recurso para solicitar un token es https://eventhubs.azure.net/ y es el mismo para todas las nubes e inquilinos. En el caso de los clientes de Kafka, el recurso para solicitar un token es https://<namespace>.servicebus.windows.net.
  2. Luego, el token se pasa como parte de una solicitud al servicio Event Hubs para autorizar el acceso al recurso especificado.

El paso de autenticación exige que una solicitud de aplicación contenga un token de acceso de OAuth 2.0 en tiempo de ejecución. Si una aplicación se está ejecutando dentro de una entidad de Azure, como puede ser una máquina virtual de Azure, un conjunto de escalado de máquinas virtuales o una aplicación de Azure Functions, puede usar una identidad administrada para acceder a los recursos. Para saber cómo autenticar las solicitudes realizadas por una identidad administrada al servicio Event Hubs, consulte Autenticar el acceso a los recursos de Azure Event Hubs con Microsoft Entra ID e identidades administradas para los recursos de Azure.

El paso de autorización exige que se asignen uno o varios roles de Azure a la entidad de seguridad. Azure Event Hubs proporciona roles de Azure que abarcan conjuntos de permisos para recursos de Event Hubs. Los roles que se asignan a una entidad de seguridad determinan los permisos que tiene esa entidad de seguridad. Para más información sobre los roles de Azure, consulte Roles integrados de Azure para Azure Event Hubs.

Las aplicaciones nativas y las aplicaciones web que realizan solicitudes a Event Hubs también pueden autorizarse con Microsoft Entra ID. Para saber cómo solicitar un token de acceso y utilizarlo para autorizar solicitudes de recursos de Event Hubs, consulte Autenticar el acceso a Azure Event Hubs con Microsoft Entra ID desde una aplicación.

Asignación de roles de Azure para derechos de acceso

Microsoft Entra autoriza los derechos de acceso a los recursos asegurados a través del control de acceso basado en roles de Azure (Azure RBAC). Azure Event Hubs define un conjunto de roles integrados de Azure que abarcan conjuntos de permisos comunes utilizados para acceder a los datos del centro de eventos y también puede definir roles personalizados para acceder a los datos.

Cuando se asigna un rol de Azure a una entidad de seguridad principal de Microsoft Entra, Azure concede acceso a esos recursos para esa entidad de seguridad principal. El acceso puede tener como ámbito el nivel de suscripción, el grupo de recursos, el espacio de nombres de Event Hubs o cualquier recurso que haya en él. Una entidad de seguridad de Microsoft Entra puede ser un usuario, o una entidad de servicio de aplicación, o una identidad administrada para los recursos de Azure.

Roles integrados de Azure para Azure Event Hubs

Azure proporciona los siguientes roles integrados en Azure para autorizar el acceso a los datos de Event Hubs utilizando Microsoft Entra ID y OAuth:

Role Descripción
Propietario de datos de Azure Event Hubs use este rol para proporcionar acceso completo a los recursos de Event Hubs.
Emisor de datos de Azure Event Hubs use este rol para proporcionar acceso de emisión a los recursos de Event Hubs.
Receptor de datos de Azure Event Hubs use este rol para proporcionar acceso de consumo/recepción a los recursos de Event Hubs.

En el caso de los roles integrados del registro de esquema, consulte Roles del registro de esquema.

Ámbito de recursos

Antes de asignar un rol de Azure a una entidad de seguridad, determine el ámbito de acceso que debería tener la entidad de seguridad. Los procedimientos recomendados dictan que siempre es mejor conceder únicamente el ámbito más restringido posible.

En la lista siguiente se describen los niveles en los que puede definir el ámbito de acceso a recursos de Event Hubs, empezando por el ámbito más restringido:

  • Grupo de consumidores: en este ámbito, la asignación de roles solo se aplica a esta entidad. Actualmente, Azure Portal no admite la asignación de un rol de Azure a una entidad de seguridad en este nivel.
  • Centro de eventos: la asignación de roles se aplica a los centros de eventos y a sus grupos de consumidores.
  • Espacio de nombres: la asignación de roles abarca toda la topología de Event Hubs en el espacio de nombres y el grupo de consumidores que tiene asociado.
  • Grupo de recursos: la asignación de roles se aplica a todos los recursos de Event Hubs del grupo de recursos.
  • Suscripción: la asignación de roles se aplica a todos los recursos de Event Hubs de todos los grupos de recursos de la suscripción.

Nota:

  • Tenga en cuenta que las asignaciones de roles de Azure pueden tardar hasta cinco minutos en propagarse.
  • Este contenido se aplica a Event Hubs y a Event Hubs para Apache Kafka. Para más información sobre la compatibilidad con Event Hubs para Kafka, consulte Event Hubs para Kafka: seguridad y autenticación.

Para más información sobre cómo se definen los roles integrados, consulte Descripción de definiciones de roles. Para más información acerca de la creación de roles personalizados de Azure, consulte Roles personalizados de Azure.

Ejemplos

Pasos siguientes

Consulte los artículos relacionados siguientes: