Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Cet article fournit des informations sur l’authentification de la livraison d’événements aux gestionnaires d’événements.
Vue d'ensemble
Azure Event Grid utilise différentes méthodes d’authentification pour remettre des événements aux gestionnaires d’événements. `
| Méthode d'authentification | Gestionnaires d’événements pris en charge | Description |
|---|---|---|
| Clé d’accès |
|
Les informations d’identification de principal de service Event Grid récupèrent les clés d’accès. Lorsque vous inscrivez le fournisseur de ressources Event Grid dans votre abonnement Azure, vous accordez à Event Grid les autorisations nécessaires. |
| Identité de système gérée & Contrôle d’accès en fonction du rôle |
|
Activez l’identité système managée pour la rubrique et ajoutez-la au rôle approprié sur la destination. Pour plus de détails, consultez Utiliser des identités attribuées par le système pour la remise d’événements. |
| Authentification par jeton de porteur avec webhook protégé par Microsoft Entra | webhook | Consultez la section Authentifier la remise des événements aux points de terminaison du webhook pour plus de détails. |
| Secret client comme paramètre de requête | webhook | Pour plus d’informations, consultez la section Utiliser la clé secrète client comme paramètre de requête . |
Remarque
Si vous protégez votre fonction Azure avec une application Microsoft Entra, vous devez adopter l’approche de webhook générique à l’aide du déclencheur HTTP. Utilisez le point de terminaison de fonction Azure comme URL de webhook lors de l’ajout de l’abonnement.
Utiliser des identités attribuées par le système pour la remise d’événements
Vous pouvez activer une identité gérée attribuée par le système pour une rubrique ou un domaine et utiliser cette identité pour transférer des événements vers des destinations prises en charge, comme les files d’attente et les rubriques Service Bus, les concentrateurs d’événements et les comptes de stockage.
Suivez ces étapes :
- Créez une rubrique ou un domaine avec une identité attribuée par le système, ou activez l'identité sur une rubrique ou un domaine existant. Pour plus d’informations, consultez Activer l’identité managée pour une rubrique système ou Activer l’identité managée pour une rubrique personnalisée ou un domaine.
- Ajouter l’identité à un rôle approprié (par exemple, expéditeur de données Service Bus) sur la destination (par exemple, une file d’attente Service Bus). Pour plus d’informations, consultez Accorder à l’identité l’accès à la destination Event Grid.
- Lors de la création d’abonnements à des événements, activez l'utilisation de l'identité pour transmettre des événements à la destination. Pour plus d’informations, consultez Créer un abonnement à l’événement utilisant l’identité.
Pour obtenir des instructions pas à pas détaillées, consultez Remise d’événements avec une identité gérée.
Authentifier la remise des événements aux points de terminaison webhook
Les sections suivantes décrivent comment authentifier la livraison d’événements aux points de terminaison webhook. Utilisez un mécanisme de validation par poignée de main, quelle que soit la méthode employée. Pour plus d’informations, consultez Remise d’événements webhook.
Utiliser Microsoft Entra ID
Vous pouvez sécuriser le point de terminaison webhook qui reçoit des événements d’Event Grid à l’aide de l’ID Microsoft Entra. Créez une application Microsoft Entra, créez un rôle et un principal de service dans votre application qui autorise Event Grid et configurez l’abonnement aux événements pour utiliser l’application Microsoft Entra. Découvrez comment Configurer Microsoft Entra ID avec Event Grid.
Utiliser le secret client comme paramètre de requête
Vous pouvez également sécuriser votre point de terminaison webhook en ajoutant des paramètres de requête à l’URL de destination webhook spécifiée lors de la création d’un abonnement à un événement. Définissez l’un des paramètres de requête en tant que clé secrète client, par exemple un jeton d’accès ou un secret partagé. Le service Event Grid inclut tous les paramètres de requête dans chaque requête de livraison d'événement au webhook. Le service webhook peut récupérer et valider le secret. Si vous mettez à jour la clé secrète client, vous devez également mettre à jour l’abonnement aux événements. Pour éviter les échecs de livraison pendant cette rotation de secret, configurez le webhook pour accepter à la fois l'ancien et le nouveau secret pendant une durée limitée avant de mettre à jour l'abonnement à l'événement avec le nouveau secret.
Étant donné que les paramètres de requête peuvent contenir des secrets client, gérez-les avec soin. Ils sont stockés sous forme cryptée et ne sont pas accessibles aux opérateurs de services. Ils ne sont pas enregistrés dans les journaux de service ou les traces. Lorsque vous récupérez les propriétés de l’abonnement aux événements, les paramètres de requête de destination ne sont pas retournés par défaut. Par exemple, vous devez utiliser le --include-full-endpoint-url paramètre dans Azure CLI.
Pour plus d’informations sur la livraison d’événements aux webhooks, consultez Livraison d’événements webhook.
Important
Azure Event Grid ne prend en charge que les points de terminaison webhook HTTPS.
Validation de point de terminaison avec CloudEvents v1.0
Si vous êtes déjà familiarisé avec Event Grid, vous pouvez être conscient de l’établissement d’une liaison de validation de point de terminaison pour empêcher les abus. CloudEvents v1.0 implémente sa propre sémantique de protection contre les abus à l’aide de la méthode HTTP OPTIONS. Pour en savoir plus à ce sujet, consultez Webhooks HTTP 1.1 pour la remise d’événements (version 1.0). Lorsque vous utilisez le schéma CloudEvents pour la sortie, Event Grid utilise la protection contre les abus CloudEvents v1.0 au lieu du mécanisme d’événement de validation Event Grid. Pour plus d’informations, consultez Utiliser le schéma CloudEvents v1.0 avec Event Grid.
Contenu connexe
Pour en savoir plus sur l’authentification des clients qui publient des événements sur des rubriques ou des domaines, consultez Authentifier les clients de publication.