Control del acceso a eventos
Azure Event Hubs admite Microsoft Entra ID y firmas de acceso compartido (SAS) para controlar la autenticación y la autorización. Azure proporciona los siguientes roles integrados de Azure para autorizar el acceso a datos de Event Hubs con Microsoft Entra ID y OAuth:
- Propietario de datos de Azure Event Hubs: use este rol para otorgar acceso total a los recursos de Event Hubs.
- Remitente de datos de Azure Event Hubs: use este rol para otorgar acceso de envío a los recursos de Event Hubs.
- Destinatario de datos de Azure Event Hubs: use este rol para otorgar acceso de recepción a los recursos de Event Hubs.
Autorización del acceso con identidades administradas
Para autorizar una solicitud al servicio Event Hubs desde una identidad administrada en la aplicación, debe configurar los valores de control de acceso basado en rol de Azure para esa identidad administrada. Azure Event Hubs define los roles de Azure que abarcan los permisos para enviar y leer desde Event Hubs. Cuando el rol de Azure se asigna a una identidad administrada, a esta se le concede acceso a los datos de Event Hubs en el ámbito adecuado.
Autorizar el acceso con la Plataforma de identidad de Microsoft
Una ventaja clave del uso de Microsoft Entra ID con Event Hubs es que ya no necesita almacenar las credenciales en el código. En su lugar, puede solicitar un token de acceso de OAuth 2.0 desde la Plataforma de identidad de Microsoft. Microsoft Entra ID autentica la entidad de seguridad (un usuario, grupo o entidad de servicio) ejecutando la aplicación. Si la autenticación se realiza correctamente, Microsoft Entra ID devuelve el token de acceso a la aplicación y la aplicación puede entonces usar el token de acceso para autorizar las solicitudes de Azure Event Hubs.
Autorización del acceso a publicadores de Event Hubs con firmas de acceso compartido
Un publicador de eventos define un punto de conexión virtual para una instancia de Event Hubs. El publicador solo puede usarse para enviar mensajes a un centro de eventos, no para recibirlos. Normalmente, un centro de eventos emplea a un publicador por cliente. Todos los mensajes que se envíen a cualquiera de los publicadores de un centro de eventos se ponen en cola dentro de ese centro de eventos. Los publicadores permiten control de acceso pormenorizado.
A cada cliente de Event Hubs se le asigna un token único que se carga en el cliente. Un cliente que posea un token solo puede enviar a un publicador y a ningún otro. Si varios clientes comparten el mismo token, cada uno de estos clientes comparte el publicador.
Todos los tokens se asignan con claves de firma de acceso compartido. Normalmente, todos los tokens se firman con la misma clave. Los clientes no conocen la clave, lo que evita que los clientes produzcan tokens. Los clientes operan en los mismos tokens hasta que expiran.
Autorización del acceso a consumidores de Event Hubs con firmas de acceso compartido
Para autenticar las aplicaciones back-end que consumen los datos generados por los productores de Event Hubs, la autenticación de tokens de Event Hubs requiere que sus clientes tengan asignados los derechos de administración o los privilegios de escucha a su espacio de nombres de Event Hubs o instancia o tema del centro de eventos. Los datos se consumen de Event Hubs mediante grupos de consumidores. Aunque la directiva SAS proporciona un ámbito granular, este ámbito solo se define en el nivel de entidad, no en el nivel de consumidor. Significa que los privilegios definidos a nivel de espacio de nombres o a nivel de instancia o tema del centro de eventos corresponden a los grupos de consumidores de esa entidad.