Autoriser l’accès à Azure Event Hubs

Chaque fois que vous publiez un événement vers un hub ou utilisez des événements à partir d’un hub d’événements, votre client tente d’accéder aux ressources Event Hubs. Chaque demande adressée à une ressource sécurisée doit être autorisée afin que le service puisse vérifier que le client dispose des autorisations requises pour publier ou utiliser les données.

Pour autoriser l'accès aux ressources sécurisées, Azure Event Hubs propose les options suivantes :

• Microsoft Entra ID
• Signature d’accès partagé

Notes

Cet article s’applique à la fois aux scénarios Event Hubs et Apache Kafka.

Microsoft Entra ID

L’intégration Microsoft Entra avec des ressources Event Hubs fournit un contrôle d’accès en fonction du rôle (RBAC) Azure pour un contrôle affiné de l’accès d’un client aux ressources. Vous pouvez utiliser Azure RBAC pour accorder des autorisations à un principal de sécurité, qui peut être un utilisateur, un groupe ou un principal du service d’application. Microsoft Entra authentifie le principal de sécurité et retourne un jeton OAuth 2.0. Le jeton peut être utilisé pour autoriser une demande d'accès à une ressource Event Hubs.

Pour plus d’informations sur l’authentification avec Microsoft Entra ID, consultez les articles suivants :

• Authentifier les requêtes adressées à Azure Event Hubs à l’aide de Microsoft Entra ID
• Autorisez l’accès aux ressources Event Hubs à l’aide de Microsoft Entra ID.

Signatures d’accès partagé

Les signatures d'accès partagé (SAP) des ressources Event Hubs fournissent un accès délégué limité aux ressources Event Hubs. L'ajout de contraintes sur l'intervalle de temps pour lequel la signature est valide ou sur les autorisations qu'elle accorde offre une certaine souplesse en matière de gestion des ressources. Pour plus d'informations, consultez S'authentifier à l'aide de signatures d'accès partagé (SAP).

Le fait d’autoriser des utilisateurs ou des applications à l’aide d’un jeton OAuth 2.0 renvoyé par Microsoft Entra ID confère une sécurité et une facilité d’utilisation supérieures à ce qu’offrent les signatures d’accès partagé. Avec Microsoft Entra ID, il n’est pas nécessaire de stocker les jetons d’accès avec votre code et de risquer d’éventuelles failles de sécurité. Vous pouvez continuer à utiliser des signatures d’accès partagé pour accorder un accès affiné aux ressources Event Hubs, mais sachez que Microsoft Entra ID offre des fonctionnalités similaires qui ne nécessitent aucune gestion des jetons SAS ni aucune révocation des signatures d’accès partagé compromises.

Par défaut, toutes les ressources Event Hubs sont sécurisées, et le propriétaire du compte est le seul à y avoir accès. Cela dit, vous pouvez utiliser n’importe laquelle des stratégies d’autorisation décrites ci-dessus pour permettre aux clients d’accéder aux ressources Event Hubs. Chaque fois que possible, Microsoft recommande d’utiliser Microsoft Entra ID pour un maximum de sécurité et de facilité d’utilisation.

Pour plus d'informations sur l'autorisation à l'aide de SAS, consultez Autoriser l'accès aux ressources Event Hubs à l'aide de signatures d'accès partagé.

Étapes suivantes

• Consultez les Exemples d’Azure RBAC publiés dans notre référentiel GitHub.
• Voir les articles suivants :
  • Authentifier les requêtes adressées à Azure Event Hubs à partir d’une application à l’aide de Microsoft Entra ID
  • Authentifier une identité managée avec Microsoft Entra ID pour accéder aux ressources Event Hubs
  • Authentifier les requêtes adressées à Azure Event Hubs à l’aide de signatures d’accès partagé
  • Autoriser l’accès aux ressources Event Hubs à l’aide de Microsoft Entra ID
  • Authentifier l’accès aux ressources Event Hubs avec des signatures d’accès partagé