Recevoir des notifications de modification via Azure Event Hubs

Les webhooks ne sont pas adaptés à la réception de notifications de modification dans les scénarios à débit élevé ou lorsque le destinataire ne peut pas exposer une URL de notification disponible publiquement. Vous pouvez également utiliser Azure Event Hubs.

Les exemples de scénarios à débit élevé où vous pouvez utiliser Azure Event Hubs incluent les applications qui s’abonnent à un grand ensemble de ressources, les applications qui s’abonnent à des ressources qui changent fréquemment et les applications multilocataires qui s’abonnent à des ressources dans un grand ensemble d’organisations.

L’article vous guide tout au long du processus de gestion de votre abonnement Microsoft Graph et comment recevoir des notifications de modification via Azure Event Hubs.

Utilisation de Azure Event Hubs pour recevoir une notification de modification

Azure Event Hubs est un service populaire d’intégration et de distribution d’événements en temps réel conçu pour une mise à l’échelle. L’utilisation d’Azure Event Hubs pour recevoir des notifications de modification diffère des webhooks de plusieurs façons, notamment :

• Vous ne dépendez pas des URL de notification exposées publiquement. Le Kit de développement logiciel (SDK) Event Hubs transmet les notifications à votre application.
• Vous n’avez pas besoin de répondre aux notifications de validation de l’URL. Vous pouvez ignorer le message de validation que vous recevez.
• Vous devez provisionner un hub d’événements.
• Vous devez provisionner un Key Vault Azure ou ajouter le service de Change Tracking Microsoft Graph au rôle Expéditeur de données sur votre hub d’événements.

Configurer l’authentification Azure Event Hubs

Utilisation d’Azure CLI

Azure CLI vous permet de générer des scripts et d’automatiser des tâches d’administration dans Azure. Azure CLI – Interface de ligne de commande Azure peut être installée sur votre ordinateur local ou exécutée directement à partir d’Azure Cloud Shell.

# --------------
# TODO: update the following values
#sets the name of the resource group
resourcegroup=rg-graphevents-dev
#sets the location of the resources
location='uk south'
#sets the name of the Azure Event Hubs namespace
evhamespacename=evh-graphevents-dev
#sets the name of the hub under the namespace
evhhubname=graphevents
#sets the name of the access policy to the hub
evhpolicyname=grapheventspolicy
#sets the name of the Azure KeyVault
keyvaultname=kv-graphevents
#sets the name of the secret in Azure KeyVault that will contain the connection string to the hub
keyvaultsecretname=grapheventsconnectionstring
# --------------
az group create --location $location --name $resourcegroup
az eventhubs namespace create --name $evhamespacename --resource-group $resourcegroup --sku Basic --location $location
az eventhubs eventhub create --name $evhhubname --namespace-name $evhamespacename --resource-group $resourcegroup --partition-count 2 --message-retention 1
az eventhubs eventhub authorization-rule create --name $evhpolicyname --eventhub-name $evhhubname --namespace-name $evhamespacename --resource-group $resourcegroup --rights Send
evhprimaryconnectionstring=`az eventhubs eventhub authorization-rule keys list --name $evhpolicyname --eventhub-name $evhhubname --namespace-name $evhamespacename --resource-group $resourcegroup --query "primaryConnectionString" --output tsv`
az keyvault create --name $keyvaultname --resource-group $resourcegroup --location $location --enable-soft-delete true --sku standard --retention-days 90
az keyvault secret set --name $keyvaultsecretname --value $evhprimaryconnectionstring --vault-name $keyvaultname --output none
graphspn=`az ad sp list --display-name 'Microsoft Graph Change Tracking' --query "[].appId" --output tsv`
az keyvault set-policy --name $keyvaultname --resource-group $resourcegroup --secret-permissions get --spn $graphspn --output none
keyvaulturi=`az keyvault show --name $keyvaultname --resource-group $resourcegroup --query "properties.vaultUri" --output tsv`
domainname=`az ad signed-in-user show --query 'userPrincipalName' | cut -d '@' -f 2 | sed 's/\"//'`
notificationUrl="EventHub:${keyvaulturi}secrets/${keyvaultsecretname}?tenantId=${domainname}"
echo "Notification Url:\n${notificationUrl}"

Note: Le script fourni ici est compatible avec les interpréteurs de commandes Linux, Windows WSL et Azure Cloud Shell. Il nécessite certaines mises à jour pour s’exécuter dans les interpréteurs de commandes Windows.

Utilisation du portail Azure

Configurer le hub d’événements

Dans cette section, vous allez :

• Create un espace de noms Event Hubs.
• Ajoutez un hub à cet espace de noms pour relayer et remettre des notifications.
• Ajoutez une stratégie d’accès partagé qui vous permet d’obtenir un chaîne de connexion au hub nouvellement créé.

Procédure :

1. Connectez-vous au Portail Azure avec des privilèges pour créer des ressources dans votre abonnement Azure.
2. Sélectionnez Create un type de ressource>Event Hubs dans la barre > de recherche, sélectionnez la suggestion Event Hubs.
3. Dans la page de création d’Event Hubs, sélectionnez Create.
4. Renseignez les détails de la création de l’espace de noms Event Hubs, puis sélectionnez Create.
5. Lorsque l’espace de noms event hub est provisionné, accédez à la page de l’espace de noms.
6. Sélectionnez Event Hubs et + Event Hub.
7. Donnez un nom au nouveau hub d’événements, puis sélectionnez Create.
8. Une fois le hub d’événements créé, sélectionnez le nom du hub d’événements, puis sélectionnez Stratégies d’accès partagé et + Ajouter pour ajouter une nouvelle stratégie.
9. Donnez un nom à la stratégie, case activée Envoyer, puis sélectionnez Create.
10. Une fois la stratégie créée, sélectionnez le nom de la stratégie pour ouvrir le panneau d’informations, puis copiez la valeur Clé primaire de chaîne de connexion . Enregistrez la valeur ; vous en avez besoin pour l’étape suivante.

Configurer le Key Vault Azure

Afin d’accéder au hub d’événements en toute sécurité et d’autoriser les rotations de clés, Microsoft Graph obtient les chaîne de connexion au hub d’événements via Azure Key Vault.

Dans cette section, vous allez :

• Create un Key Vault Azure pour stocker le secret.
• Ajoutez le chaîne de connexion au hub d’événements en tant que secret.
• Ajoutez une stratégie d’accès pour que Microsoft Graph accède au secret.

Procédure :

1. Connectez-vous au Portail Azure avec des privilèges pour créer des ressources dans votre abonnement Azure.
2. Sélectionnez Create un type de ressource >Key Vault dans la barre > de recherche, sélectionnez la suggestion Key Vault.
3. Dans la page de création du Key Vault, sélectionnez Create.
4. Renseignez les Key Vault détails de création, puis sélectionnez Vérifier + Create et Create.
5. Accédez au coffre de clés nouvellement créé à l’aide de Accédez à la ressource à partir de la notification.
6. Copiez le nom DNS ; vous en aurez besoin plus loin dans cet article.
7. Accédez à Secrets et sélectionnez + Générer/Importer.
8. Donnez un nom au secret et conservez le nom pour plus tard ; vous en aurez besoin plus loin dans cet article. Pour la valeur, collez la chaîne de connexion créée à l’étape Hub d’événements. Sélectionnez Créer.
9. Sélectionnez Stratégies d’accès et + Ajouter une stratégie d’accès.
10. Pour les Autorisations du secret, sélectionnez Obtenir, et pour Sélectionner le principal, sélectionnez Suivi des modifications Microsoft Graph. Sélectionnez Ajouter.

Utiliser le Portail Azure (RBAC)

Configurer le hub d’événements

Dans cette section, vous :

• Create un espace de noms Event Hubs.
• Ajoutez un hub à cet espace de noms pour relayer et remettre des notifications.
• Ajoutez une stratégie d’accès partagé qui vous permet d’obtenir un chaîne de connexion au hub nouvellement créé.

Procédure :

1. Connectez-vous au Portail Azure avec des privilèges pour créer des ressources dans votre abonnement Azure.
2. Sélectionnez Create un type de ressource>Event Hubs dans la barre > de recherche, sélectionnez la suggestion Event Hubs.
3. Dans la page de création d’Event Hubs, sélectionnez Create.
4. Renseignez les détails de la création de l’espace de noms Event Hubs, puis sélectionnez Create.
5. Lorsque l’espace de noms event hub est provisionné, accédez à la page de l’espace de noms.
6. Sélectionnez Event Hubs et + Event Hub.
7. Donnez un nom au nouveau hub d’événements, puis sélectionnez Create.
8. Une fois le hub d’événements créé, sélectionnez le nom du hub d’événements, puis sélectionnez Access Control (IAM) dans la barre latérale.
9. Sélectionnez Attributions de rôles.
10. Sélectionnez + Ajouter , puis Ajouter une attribution de rôle.
11. Sous Rôlesde fonction> de travail de rôle>, sélectionnez Azure Event Hubs Expéditeur> de données, sélectionnez Suivant.
12. Sous l’onglet Membres , sélectionnez Attribuer l’accès à l’utilisateur, au groupe ou au principal du service.
13. Sélectionnez + Sélectionner les membres> pour rechercher et sélectionnez Microsoft Graph Change Tracking.
14. Sélectionnez Vérifier + affecter pour terminer le processus.

Create l’abonnement et recevoir des notifications

Après avoir créé les services Azure KeyVault et Azure Event Hubs requis, vous pouvez maintenant créer votre abonnement aux notifications de modification et commencer à recevoir des notifications de modification via Azure Event Hubs.

Create l’abonnement

La création d’un abonnement pour recevoir des notifications de modification avec Event Hubs est presque identique à la création d’un abonnement webhook, mais avec des modifications importantes apportées à la propriété notificationUrl . Passez d’abord en revue les étapes de création d’un abonnement webhook avant de continuer.

Lors de la création de l’abonnement, la notificationUrl doit pointer vers votre emplacement Event Hubs.

Utilisation de Key Vault

Si vous utilisez Key Vault, la propriété notificationUrl se présente comme suit : EventHub:https://<azurekeyvaultname>.vault.azure.net/secrets/<secretname>?tenantId=<domainname>, avec les valeurs suivantes :

• azurekeyvaultname : nom attribué au coffre de clés lorsque vous l’avez créé. Vous le trouverez dans le nom DNS.
• secretname : nom attribué au secret lorsque vous l’avez créé. Vous le trouverez dans la page Secrets du coffre de clés Azure.
• domainname - Le nom de votre locataire ; par exemple, contoso.com. Étant donné que ce domaine est utilisé pour accéder à l’Key Vault Azure, il est important qu’il corresponde au domaine utilisé par l’abonnement Azure qui détient le Key Vault Azure. Pour obtenir ces informations, vous pouvez accéder à la page de vue d’ensemble du coffre de clés Azure que vous avez créé et cliquer sur l’abonnement. Le nom de domaine s’affiche sous le champ Répertoire.

Utilisation du contrôle d’accès en fonction du rôle

Si vous utilisez le contrôle d’accès en fonction du rôle, la propriété notificationUrl se présente comme suit :

EventHub:https://<eventhubnamespace>.servicebus.windows.net/eventhubname/<eventhubname>?tenantId=<domainname>

• eventhubnamespace est le nom que vous donnez à l’espace de noms Event Hub. Se trouve dans la page Vue d’ensemble d’Event Hubs sous Nom d’hôte.
• eventhubname est le nom que vous donnez au hub d’événements. Se trouve dans Event Hubs -> Vue d’ensemble -> Event Hubs.
• domainname est le nom de votre locataire ; par exemple, contoso.com. Étant donné que ce domaine est utilisé pour accéder à Azure Event Hub, il est important qu’il corresponde au domaine utilisé par l’abonnement Azure qui contient le hub d’événements Azure. Pour obtenir ces informations, sélectionnez le menu Microsoft Entra ID dans le Portail Azure et case activée la page Vue d’ensemble. Le nom de domaine s’affiche sous le domaine principal.

Remarque

Les abonnements en double ne sont pas autorisés. Lorsqu’une demande d’abonnement contient les mêmes valeurs pour changeType et resource qu’un abonnement existant, la requête échoue avec un code 409 Conflictd’erreur HTTP et le message Subscription Id <> already exists for the requested combinationd’erreur .

Recevoir des notifications

Les notifications de modification sont désormais remises à votre application par Event Hubs. Si vous souhaitez obtenir plus d’informations, voir Réception des événements dans la documentation relative aux hubs d’événements.

Avant de recevoir les notifications dans votre application, vous devez créer une autre stratégie d’accès partagé avec une autorisation « Écouter » et obtenir le chaîne de connexion, comme dans la procédure décrite dans Configurer le hub d’événements.

Conseil

Create une stratégie distincte pour l’application qui écoute les messages Event Hubs au lieu de réutiliser les mêmes chaîne de connexion que vous définissez dans Azure KeyVault. Cette séparation suit le principe du privilège minimum en garantissant que chaque composant de la solution dispose uniquement des autorisations dont il a besoin.

Gestion des notifications de validation

Votre application reçoit des notifications de validation chaque fois qu’elle crée un abonnement. Vous devez ignorer ces notifications. L’exemple suivant représente le contenu d’un message de validation.

 {
    "value":[
        {
            "subscriptionId":"NA",
            "subscriptionExpirationDateTime":"NA",
            "clientState":"NA",
            "changeType":"Validation: Testing client application reachability for subscription Request-Id: 522a8e7e-096a-494c-aaf1-ac0dcfca45b7",
            "resource":"NA",
            "resourceData":{
                "@odata.type":"NA",
                "@odata.id":"NA",
                "id":"NA"
            }
        }
    ]
}

Abonnements pour les notifications enrichies avec des charges utiles volumineuses

La taille maximale des messages pour Event Hubs est de 1 Mo. Lorsque vous utilisez des notifications enrichies, vous pouvez vous attendre à des notifications qui dépassent cette limite. Pour recevoir des notifications supérieures à 1 Mo via Event Hubs, vous devez également ajouter un compte de stockage d’objets blob à votre demande d’abonnement.

Configurer le stockage et créer un abonnement

1. Create un compte de stockage.
2. Create un conteneur dans le compte de stockage et attribuez-lui un nom.
3. Récupérez les clés d’accès au compte de stockage ou chaîne de connexion.
4. Ajoutez le chaîne de connexion au coffre de clés et donnez-lui un nom. Cette valeur est le nom du secret.
5. Create ou recréez votre abonnement, en incluant maintenant la propriété blobStoreUrl dans la syntaxe suivante :blobStoreUrl: "https://<azurekeyvaultname>.vault.azure.net/secrets/<secretname>?tenantId=<domainname>"

Recevoir des notifications enrichies

Quand Event Hubs reçoit une charge utile de notification supérieure à 1 Mo, la notification ne contient pas les propriétés resource, resourceData et encryptedContent incluses dans les notifications enrichies. La notification contient plutôt une propriétéPayloadStorageId supplémentaire avec un ID qui pointe vers l’objet blob dans votre compte de stockage où ces propriétés sont stockées.

Que se passe-t-il si l’application Microsoft Graph Change Tracking est manquante ?

Le principal de service Microsoft Graph Change Tracking peut être manquant dans votre locataire, en fonction du moment où le locataire a été créé et des opérations d’administration. Le appId global unique du principal de service est 0bf30f3b-4a52-48df-9a82-234910c4a086 et vous pouvez exécuter la requête suivante pour vérifier s’il existe dans le locataire.

HTTP

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='0bf30f3b-4a52-48df-9a82-234910c4a086')

C#

// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.ServicePrincipalsWithAppId("{appId}").GetAsync();

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

CLI

// THE CLI IS IN PREVIEW. NON-PRODUCTION USE ONLY
mgc service-principals-with-app-id get --app-id {app-id}

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Go

import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  //other-imports
)

graphClient := msgraphsdk.NewGraphServiceClientWithCredentials(cred, scopes)



appId := "{appId}"
servicePrincipals, err := graphClient.ServicePrincipalsWithAppId(&appId).Get(context.Background(), nil)

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

ServicePrincipal result = graphClient.servicePrincipalsWithAppId("{appId}").get();

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

JavaScript

Snippet not available

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

PHP

<?php
use Microsoft\Graph\GraphServiceClient;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);


$result = $graphServiceClient->servicePrincipalsWithAppId('{appId}', )->get()->wait();

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

PowerShell

Import-Module Microsoft.Graph.Applications

Get-MgServicePrincipalByAppId

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Python

from msgraph import GraphServiceClient

graph_client = GraphServiceClient(credentials, scopes)


result = await graph_client.service_principals_with_app_id("{appId}").get()

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Si le principal de service n’existe pas, créez-le comme suit. Vous devez accorder à l’application appelante l’autorisation Application.ReadWrite.All pour exécuter cette opération.

Méthode 1

HTTP

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json

{
    "appId": "0bf30f3b-4a52-48df-9a82-234910c4a086"
}

C#

// Code snippets are only available for the latest version. Current version is 5.x

// Dependencies
using Microsoft.Graph.Models;

var requestBody = new ServicePrincipal
{
	AppId = "0bf30f3b-4a52-48df-9a82-234910c4a086",
};

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.ServicePrincipals.PostAsync(requestBody);

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

CLI

// THE CLI IS IN PREVIEW. NON-PRODUCTION USE ONLY
mgc service-principals create --body '{\
    "appId": "0bf30f3b-4a52-48df-9a82-234910c4a086"\
}\
'

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Go

import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  graphmodels "github.com/microsoftgraph/msgraph-sdk-go/models"
	  //other-imports
)

graphClient := msgraphsdk.NewGraphServiceClientWithCredentials(cred, scopes)


requestBody := graphmodels.NewServicePrincipal()
appId := "0bf30f3b-4a52-48df-9a82-234910c4a086"
requestBody.SetAppId(&appId) 

servicePrincipals, err := graphClient.ServicePrincipals().Post(context.Background(), requestBody, nil)

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

ServicePrincipal servicePrincipal = new ServicePrincipal();
servicePrincipal.setAppId("0bf30f3b-4a52-48df-9a82-234910c4a086");
ServicePrincipal result = graphClient.servicePrincipals().post(servicePrincipal);

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

const servicePrincipal = {
    appId: '0bf30f3b-4a52-48df-9a82-234910c4a086'
};

await client.api('/servicePrincipals')
	.post(servicePrincipal);

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

PHP

<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\ServicePrincipal;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestBody = new ServicePrincipal();
$requestBody->setAppId('0bf30f3b-4a52-48df-9a82-234910c4a086');

$result = $graphServiceClient->servicePrincipals()->post($requestBody)->wait();

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

PowerShell

Import-Module Microsoft.Graph.Applications

$params = @{
	appId = "0bf30f3b-4a52-48df-9a82-234910c4a086"
}

New-MgServicePrincipal -BodyParameter $params

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Python

from msgraph import GraphServiceClient
from msgraph.generated.models.service_principal import ServicePrincipal

graph_client = GraphServiceClient(credentials, scopes)

request_body = ServicePrincipal(
	app_id = "0bf30f3b-4a52-48df-9a82-234910c4a086",
)

result = await graph_client.service_principals.post(request_body)

Pour plus d’informations sur l’ajout du SDK à votre projet et la création d’un instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Méthode 2

POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='0bf30f3b-4a52-48df-9a82-234910c4a086')
Content-type: application/json
Prefer: create-if-missing

{
    "displayName": "Microsoft Graph Change Tracking"
}

Contenu connexe

• Vue d’ensemble des notifications de modification
• Consultez les guides de démarrage rapide Azure Event Hubs suivants :
  • .NET Core
  • Java
  • Python
  • JavaScript