Akses otorisasi ke sumber daya Event Hubs menggunakan Microsoft Entra ID
Azure Event Hubs mendukung penggunaan ID Microsoft Entra untuk mengotorisasi permintaan ke sumber daya Azure Event Hubs. Dengan MICROSOFT Entra ID, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada prinsip keamanan, yang dapat menjadi pengguna, atau perwakilan layanan aplikasi. Untuk mempelajari selengkapnya tentang peran dan penetapan peran, lihat Memahami peran lainnya.
Gambaran Umum
Saat prinsip keamanan (pengguna, atau aplikasi) mencoba mengakses sumber daya Azure Event Hubs, permintaan harus diotorisasi. Dengan ID Microsoft Entra, akses ke sumber daya adalah proses dua langkah.
- Pertama, identitas perwakilan keamanan diautentikasi, dan token OAuth 2.0 ditampilkan. Nama sumber daya untuk meminta token adalah
https://eventhubs.azure.net/
, dan itu sama untuk semua cloud/penyewa. Untuk klien Kafka, sumber daya untuk meminta token adalahhttps://<namespace>.servicebus.windows.net
. - Selanjutnya, token diteruskan sebagai bagian dari permintaan ke layanan Azure Event Hubs untuk mengotorisasi akses ke sumber daya yang ditentukan.
Langkah otentikasi mengharuskan permintaan aplikasi berisi token akses OAuth 2.0 pada saat runtime. Jika aplikasi berjalan dalam entitas Azure seperti Azure VM, set skala komputer virtual, atau aplikasi Azure Function, aplikasi tersebut dapat menggunakan identitas terkelola untuk mengakses sumber daya. Untuk mempelajari cara mengautentikasi permintaan yang dibuat oleh identitas terkelola ke layanan Azure Event Hubs, lihat Mengautentikasi akses ke sumber daya Azure Event Hubs dengan ID Microsoft Entra dan identitas terkelola untuk Sumber Daya Azure.
Langkah otorisasi mengharuskan satu atau beberapa peran Azure ditetapkan ke perwakilan keamanan. Azure Event Hubs menyediakan peran Azure yang mencakup sekumpulan izin untuk sumber daya Pusat Aktivitas. Peran yang ditugaskan kepada perwakilan keamanan menentukan izin yang akan dimiliki oleh perwakilan tersebut. Untuk informasi selengkapnya tentang peran Azure, lihat Peran bawaan Azure untuk Azure Event Hubs.
Aplikasi asli dan aplikasi web yang membuat permintaan ke Azure Event Hubs juga dapat diotorisasi dengan ID Microsoft Entra. Untuk mempelajari cara meminta token akses dan menggunakannya untuk mengotorisasi permintaan sumber daya Azure Event Hubs, lihat Mengautentikasi akses ke Azure Event Hubs dengan ID Microsoft Entra dari aplikasi.
Menetapkan peran Azure untuk hak akses
Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Event Hubs menetapkan sekumpulan peran bawaan Azure yang mencakup serangkaian izin umum yang digunakan untuk mengakses data hub peristiwa dan Anda juga dapat menentukan peran kustom untuk mengakses data.
Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsip keamanan tersebut. Akses dapat dicakup ke tingkat langganan, grup sumber daya, namespace layanan Event Hubs, atau sumber daya apa pun di bawahnya. Perwakilan keamanan Microsoft Entra dapat menjadi pengguna, atau perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.
Peran bawaan Azure untuk Azure Event Hubs
Azure menyediakan peran bawaan Azure berikut untuk mengotorisasi akses ke data Azure Event Hubs menggunakan MICROSOFT Entra ID dan OAuth:
Peran | Deskripsi |
---|---|
Pemilik Data Azure Event Hubs | Gunakan peran ini untuk memberikan akses lengkap ke sumber daya Event Hubs. |
Pengirim Data Azure Event Hubs | Gunakan peran ini untuk memberikan akses ke sumber daya Azure Event Hubs. |
Penerima Data Azure Event Hubs | Gunakan peran ini untuk memberikan akses penggunaan/penerimaan ke sumber daya Azure Event Hubs. |
Untuk peran bawaan Schema Registry, lihat Peran Schema Registry.
Cakupan sumber daya
Sebelum Anda menetapkan peran Azure ke perwakilan keamanan, tentukan cakupan akses yang harus dimiliki perwakilan keamanan. Praktik terbaik memerintahkan bahwa yang terbaik selalu hanya memberikan cakupan sesempit mungkin.
Daftar berikut ini menjelaskan tingkat tempat Anda dapat mencakup akses ke sumber daya Azure Event Hubs, dimulai dengan lingkup tersempit:
- Kelompok konsumen: Pada cakupan ini, penetapan peran hanya berlaku untuk entitas ini. Saat ini, portal Microsoft Azure tidak mendukung penetapan peran Azure ke perwakilan keamanan pada tingkat ini.
- Pusat aktivitas: Penetapan peran berlaku untuk hub peristiwa dan grup konsumen mereka.
- Namespace: Penetapan peran mencakup seluruh topologi Pusat Aktivitas di bawah namespace layanan dan ke grup konsumen yang terkait dengannya.
- Grup Sumber Daya: Penetapan peran berlaku untuk semua sumber daya Azure Event Hubs di bawah grup sumber daya.
- Langganan: Penetapan peran berlaku untuk semua sumber daya Azure Event Hubs di semua grup sumber daya dalam langganan.
Catatan
- Perlu diingat bahwa penetapan peran Azure mungkin memerlukan waktu hingga lima menit untuk disebarluaskan.
- Konten ini berlaku untuk Pusat Aktivitas dan Event Hubs for Apache Kafka. Untuk informasi selengkapnya tentang dukungan Event Hubs for Kafka, lihat Event Hubs for Kafka - keamanan dan autentikasi.
Untuk informasi selengkapnya tentang bagaimana peran bawaan ditentukan, lihat Memahami definisi peran. Untuk informasi tentang membuat peran kustom Azure, lihat Peran kustom Azure.
Sampel
Sampel Microsoft.Azure.EventHubs.
Sampel ini menggunakan pustaka Microsoft.Azure.EventHubs warisan, tetapi Anda dapat dengan mudah memperbaruinya untuk menggunakan pustaka Azure.Messaging.EventHubs terbaru. Untuk memindahkan sampel dari menggunakan pustaka warisan ke pustaka baru, lihat Panduan untuk bermigrasi dari Microsoft.Azure.EventHubs ke Azure.Messaging.EventHubs.
Sampel Azure.Messaging.EventHubs
Sampel ini telah diperbarui untuk menggunakan pustaka Azure.Messaging.EventHubs terbaru.
Langkah berikutnya
- Pelajari cara menetapkan peran bawaan Azure ke prinsip keamanan, lihat Mengautentikasi akses ke sumber daya Azure Event Hubs menggunakan ID Microsoft Entra.
- Pelajari cara membuat peran kustom dengan Azure RBAC.
- Pelajari cara menggunakan MICROSOFT Entra ID dengan EH
Lihat artikel terkait berikut ini:
- Mengautentikasi permintaan ke Azure Event Hubs dari aplikasi menggunakan ID Microsoft Entra
- Mengautentikasi identitas terkelola dengan ID Microsoft Entra untuk mengakses Sumber Daya Azure Event Hubs
- Mengautentikasi permintaan ke Azure Event Hubs menggunakan Tanda Tangan Akses Bersama
- Mengotorisasi akses ke sumber daya Event Hubs menggunakan Tanda Tangan Akses Bersama