Akses otorisasi ke sumber daya Event Hubs menggunakan Microsoft Entra ID

  • Artikel

Azure Event Hubs mendukung penggunaan ID Microsoft Entra untuk mengotorisasi permintaan ke sumber daya Azure Event Hubs. Dengan MICROSOFT Entra ID, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada prinsip keamanan, yang dapat menjadi pengguna, atau perwakilan layanan aplikasi. Untuk mempelajari selengkapnya tentang peran dan penetapan peran, lihat Memahami peran lainnya.

Gambaran Umum

Saat prinsip keamanan (pengguna, atau aplikasi) mencoba mengakses sumber daya Azure Event Hubs, permintaan harus diotorisasi. Dengan ID Microsoft Entra, akses ke sumber daya adalah proses dua langkah.

  1. Pertama, identitas perwakilan keamanan diautentikasi, dan token OAuth 2.0 ditampilkan. Nama sumber daya untuk meminta token adalah https://eventhubs.azure.net/, dan itu sama untuk semua cloud/penyewa. Untuk klien Kafka, sumber daya untuk meminta token adalah https://<namespace>.servicebus.windows.net.
  2. Selanjutnya, token diteruskan sebagai bagian dari permintaan ke layanan Azure Event Hubs untuk mengotorisasi akses ke sumber daya yang ditentukan.

Langkah otentikasi mengharuskan permintaan aplikasi berisi token akses OAuth 2.0 pada saat runtime. Jika aplikasi berjalan dalam entitas Azure seperti Azure VM, set skala komputer virtual, atau aplikasi Azure Function, aplikasi tersebut dapat menggunakan identitas terkelola untuk mengakses sumber daya. Untuk mempelajari cara mengautentikasi permintaan yang dibuat oleh identitas terkelola ke layanan Azure Event Hubs, lihat Mengautentikasi akses ke sumber daya Azure Event Hubs dengan ID Microsoft Entra dan identitas terkelola untuk Sumber Daya Azure.

Langkah otorisasi mengharuskan satu atau beberapa peran Azure ditetapkan ke perwakilan keamanan. Azure Event Hubs menyediakan peran Azure yang mencakup sekumpulan izin untuk sumber daya Pusat Aktivitas. Peran yang ditugaskan kepada perwakilan keamanan menentukan izin yang akan dimiliki oleh perwakilan tersebut. Untuk informasi selengkapnya tentang peran Azure, lihat Peran bawaan Azure untuk Azure Event Hubs.

Aplikasi asli dan aplikasi web yang membuat permintaan ke Azure Event Hubs juga dapat diotorisasi dengan ID Microsoft Entra. Untuk mempelajari cara meminta token akses dan menggunakannya untuk mengotorisasi permintaan sumber daya Azure Event Hubs, lihat Mengautentikasi akses ke Azure Event Hubs dengan ID Microsoft Entra dari aplikasi.

Menetapkan peran Azure untuk hak akses

Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Event Hubs menetapkan sekumpulan peran bawaan Azure yang mencakup serangkaian izin umum yang digunakan untuk mengakses data hub peristiwa dan Anda juga dapat menentukan peran kustom untuk mengakses data.

Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsip keamanan tersebut. Akses dapat dicakup ke tingkat langganan, grup sumber daya, namespace layanan Event Hubs, atau sumber daya apa pun di bawahnya. Perwakilan keamanan Microsoft Entra dapat menjadi pengguna, atau perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Peran bawaan Azure untuk Azure Event Hubs

Azure menyediakan peran bawaan Azure berikut untuk mengotorisasi akses ke data Azure Event Hubs menggunakan MICROSOFT Entra ID dan OAuth:

Peran Deskripsi
Pemilik Data Azure Event Hubs Gunakan peran ini untuk memberikan akses lengkap ke sumber daya Event Hubs.
Pengirim Data Azure Event Hubs Gunakan peran ini untuk memberikan akses ke sumber daya Azure Event Hubs.
Penerima Data Azure Event Hubs Gunakan peran ini untuk memberikan akses penggunaan/penerimaan ke sumber daya Azure Event Hubs.

Untuk peran bawaan Schema Registry, lihat Peran Schema Registry.

Cakupan sumber daya

Sebelum Anda menetapkan peran Azure ke perwakilan keamanan, tentukan cakupan akses yang harus dimiliki perwakilan keamanan. Praktik terbaik memerintahkan bahwa yang terbaik selalu hanya memberikan cakupan sesempit mungkin.

Daftar berikut ini menjelaskan tingkat tempat Anda dapat mencakup akses ke sumber daya Azure Event Hubs, dimulai dengan lingkup tersempit:

  • Kelompok konsumen: Pada cakupan ini, penetapan peran hanya berlaku untuk entitas ini. Saat ini, portal Microsoft Azure tidak mendukung penetapan peran Azure ke perwakilan keamanan pada tingkat ini.
  • Pusat aktivitas: Penetapan peran berlaku untuk hub peristiwa dan grup konsumen mereka.
  • Namespace: Penetapan peran mencakup seluruh topologi Pusat Aktivitas di bawah namespace layanan dan ke grup konsumen yang terkait dengannya.
  • Grup Sumber Daya: Penetapan peran berlaku untuk semua sumber daya Azure Event Hubs di bawah grup sumber daya.
  • Langganan: Penetapan peran berlaku untuk semua sumber daya Azure Event Hubs di semua grup sumber daya dalam langganan.

Catatan

  • Perlu diingat bahwa penetapan peran Azure mungkin memerlukan waktu hingga lima menit untuk disebarluaskan.
  • Konten ini berlaku untuk Pusat Aktivitas dan Event Hubs for Apache Kafka. Untuk informasi selengkapnya tentang dukungan Event Hubs for Kafka, lihat Event Hubs for Kafka - keamanan dan autentikasi.

Untuk informasi selengkapnya tentang bagaimana peran bawaan ditentukan, lihat Memahami definisi peran. Untuk informasi tentang membuat peran kustom Azure, lihat Peran kustom Azure.

Sampel

Langkah berikutnya

Lihat artikel terkait berikut ini: