Mengotorisasi akses ke sumber daya Azure Event Hubs menggunakan Azure Active Directory

Azure Event Hubs mendukung penggunaan Azure Active Directory (Azure AD) untuk mengotorisasi permintaan ke sumber daya Pusat Aktivitas. Dengan Azure AD, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada keamanan utama, yang mungkin merupakan pengguna, atau perwakilan layanan aplikasi. Untuk mempelajari selengkapnya tentang peran dan penetapan peran, lihat Memahami peran lainnya.

Gambaran Umum

Saat prinsip keamanan (pengguna, atau aplikasi) mencoba mengakses sumber daya Azure Event Hubs, permintaan harus diotorisasi. Dengan Azure Active Directory, akses ke sumber daya adalah proses dua langkah.

  1. Pertama, identitas utama keamanan diautentikasi, dan token OAuth 2.0 dikembalikan. Nama sumber daya untuk meminta token adalah https://eventhubs.azure.net/, dan itu sama untuk semua cloud/penyewa. Untuk klien Kafka, sumber daya untuk meminta token adalah https://<namespace>.servicebus.windows.net.
  2. Selanjutnya, token diteruskan sebagai bagian dari permintaan ke layanan Azure Event Hubs untuk mengotorisasi akses ke sumber daya yang ditentukan.

Langkah autentikasi mengharuskan permintaan aplikasi berisi token akses OAuth 2.0 pada saat runtime. Jika aplikasi berjalan dalam entitas Azure seperti Azure VM, set skala komputer virtual, atau aplikasi Azure Function, aplikasi tersebut dapat menggunakan identitas terkelola untuk mengakses sumber daya. Untuk mempelajari cara mengautentikasi permintaan yang dibuat oleh identitas terkelola ke layanan Azure Event Hubs, lihat Mengautentikasi akses ke sumber daya Azure Event Hubs dengan Azure Active Directory dan identitas terkelola untuk Azure Resources.

Langkah otorisasi mengharuskan satu atau beberapa peran Azure ditetapkan ke perwakilan keamanan. Azure Event Hubs menyediakan peran Azure yang mencakup sekumpulan izin untuk sumber daya Pusat Aktivitas. Peran yang ditugaskan kepada perwakilan keamanan menentukan izin yang akan dimiliki oleh perwakilan tersebut. Untuk informasi selengkapnya tentang peran Azure, lihat Peran bawaan Azure untuk Azure Event Hubs.

Aplikasi asli dan web yang membuat permintaan ke Azure Event Hubs juga dapat diotorisasi dengan Azure Active Directory. Untuk mempelajari cara meminta token akses dan menggunakannya untuk mengotorisasi permintaan sumber daya Hub Kejadian, lihat Mengautentikasi akses ke Azure Event Hubs dengan Azure AD dari aplikasi.

Menetapkan peran Azure untuk hak akses

Azure Active Directory (Azure AD) mengesahkan hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Event Hubs menetapkan sekumpulan peran bawaan Azure yang mencakup serangkaian izin umum yang digunakan untuk mengakses data hub peristiwa dan Anda juga dapat menentukan peran kustom untuk mengakses data.

Saat peran Azure ditetapkan ke prinsip keamanan Azure AD, Azure memberikan akses ke sumber daya untuk prinsip keamanan tersebut. Akses dapat dicakup ke tingkat langganan, grup sumber daya, namespace layanan Event Hubs, atau sumber daya apa pun di bawahnya. Prinsip keamanan Microsoft Azure Active Directory dapat berupa pengguna atau perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Peran bawaan Azure untuk Azure Event Hubs

Azure menyediakan peran bawaan Azure berikut ini untuk mengizinkan akses ke Azure Event Hubs menggunakan Azure Active Directory dan OAuth:

Peran Deskripsi
Pemilik Data Azure Event Hubs Gunakan peran ini untuk memberikan akses lengkap ke sumber daya Azure Event Hubs.
Pengirim Data Azure Event Hubs Gunakan peran ini untuk memberikan akses ke sumber daya Azure Event Hubs.
Penerima Data Azure Event Hubs Gunakan peran ini untuk memberikan akses penggunaan/penerimaan ke sumber daya Azure Event Hubs.

Untuk peran bawaan Schema Registry, lihat Peran Schema Registry.

Cakupan sumber daya

Sebelum Anda menetapkan peran Azure ke perwakilan keamanan, tentukan cakupan akses yang harus dimiliki perwakilan keamanan. Praktik terbaik memerintahkan bahwa yang terbaik selalu hanya memberikan cakupan sesempit mungkin.

Daftar berikut ini menjelaskan tingkat tempat Anda dapat mencakup akses ke sumber daya Azure Event Hubs, dimulai dengan lingkup tersempit:

  • Kelompok konsumen: Pada cakupan ini, penetapan peran hanya berlaku untuk entitas ini. Saat ini, portal Microsoft Azure tidak mendukung penetapan peran Azure ke perwakilan keamanan pada tingkat ini.
  • Hub peristiwa: Penetapan peran berlaku untuk entitas Event Hub dan grup konsumen di bawahnya.
  • Namespace: Penetapan peran mencakup seluruh topologi Pusat Aktivitas di bawah namespace layanan dan ke grup konsumen yang terkait dengannya.
  • Grup Sumber Daya: Penetapan peran berlaku untuk semua sumber daya Azure Event Hubs di bawah grup sumber daya.
  • Langganan: Penetapan peran berlaku untuk semua sumber daya Azure Event Hubs di semua grup sumber daya dalam langganan.

Catatan

  • Ingatlah bahwa penetapan peran Azure mungkin membutuhkan waktu hingga lima menit untuk disebarluaskan.
  • Konten ini berlaku untuk Pusat Aktivitas dan Event Hubs for Apache Kafka. Untuk informasi selengkapnya tentang dukungan Event Hubs for Kafka, lihat Event Hubs for Kafka - keamanan dan autentikasi.

Untuk informasi selengkapnya tentang bagaimana peran bawaan ditentukan, lihat Memahami definisi peran. Untuk informasi tentang membuat peran kustom Azure, lihat Peran kustom Azure.

Sampel

Langkah berikutnya

Lihat artikel terkait berikut ini: