Mengautentikasi pengiriman kejadian ke penanganan aktivitas (Azure Event Grid)
Artikel ini menyediakan informasi tentang mengautentikasi pengiriman kejadian ke penanganan aktivitas.
Gambaran Umum
Azure Event Grid menggunakan metode autentikasi yang berbeda untuk mengirimkan peristiwa ke penanganan aktivitas. `
| Metode autentikasi | Penanganan peristiwa yang didukung | Deskripsi |
|---|---|---|
| Kunci akses | - Pusat Aktivitas - Bus Layanan - Antrean Penyimpanan - Relay Hybrid Koneksi ions - Azure Functions - Blob Penyimpanan (Deadletter) |
Kunci akses diperoleh dengan menggunakan kredensial perwakilan layanan Event Grid. Izin akses diberikan ke Event Grid saat Anda mendaftarkan penyedia sumber daya Event Grid di langganan Azure mereka. |
| Identitas Sistem Terkelola & Kontrol Akses Berbasis Peran |
- Pusat Aktivitas - Bus Layanan - Antrean Penyimpanan - Blob Penyimpanan (Deadletter) |
Aktifkan identitas sistem terkelola untuk topik ini dan tambahkan ke peran yang sesuai pada tujuan. Untuk rinciannya, lihat Gunakan identitas sistem yang ditetapkan untuk pengiriman peristiwa. |
| Autentikasi token pembawa dengan webhook yang dilindungi Microsoft Entra | Webhook | Lihat bagian Mengautentikasi pengiriman peristiwa ke titik akhir webhook untuk detailnya. |
| Rahasia klien sebagai parameter kueri | Webhook | Lihat bagian Gunakan rahasia klien sebagai parameter kueri untuk rinciannya. |
Catatan
Jika Anda melindungi fungsi Azure dengan aplikasi Microsoft Entra, Anda harus mengambil pendekatan webhook generik menggunakan pemicu HTTP. Gunakan titik akhir fungsi Azure sebagai URL webhook saat menambahkan langganan.
Menggunakan identitas yang ditetapkan sistem untuk pengiriman kejadian
Anda dapat mengaktifkan identitas terkelola yang ditetapkan sistem untuk topik atau domain dan menggunakan identitas tersebut untuk meneruskan kejadian ke tujuan yang didukung seperti antrean dan topik Bus Layanan, hub kejadian, dan akun penyimpanan.
Berikut langkah-langkahnya:
- Buat topik atau domain dengan identitas yang ditetapkan sistem, atau perbarui topik atau domain yang sudah ada untuk mengaktifkan identitas. Untuk informasi lebih lengkap, lihat Aktifkan identitas terkelola untuk topik sistem atau Aktifkan identitas terkelola untuk topik kustom atau domain
- Tambahkan identitas ke peran yang sesuai (misalnya, Service Bus Data Sender) di tujuan (misalnya, antrean Service Bus). Untuk informasi lebih lanjut, lihat Beri akses untuk identitas ke tujuan Event Grid
- Saat Anda membuat langganan kejadian, aktifkan penggunaan identitas untuk mengirimkan kejadian ke tujuan. Untuk informasi lebih lanjut, lihat Buat langganan peristiwa yang menggunakan identitas.
Untuk petunjuk langkah demi langkah secara terperinci, lihat Pengiriman kejadian dengan identitas terkelola.
Mengautentikasi pengiriman kejadian ke titik akhir webhook
Bagian berikut menjelaskan cara mengautentikasi pengiriman kejadian ke titik akhir webhook. Gunakan mekanisme jabat tangan sebagai validasi terlepas dari metode yang Anda gunakan. Lihat Pengiriman kejadian webhook untuk detailnya.
Menggunakan ID Microsoft Entra
Anda dapat mengamankan titik akhir webhook yang digunakan untuk menerima peristiwa dari Event Grid dengan menggunakan ID Microsoft Entra. Anda perlu membuat aplikasi Microsoft Entra, membuat peran dan perwakilan layanan di aplikasi Anda yang mengotorisasi Event Grid, dan mengonfigurasi langganan peristiwa untuk menggunakan aplikasi Microsoft Entra. Pelajari cara Mengonfigurasi ID Microsoft Entra dengan Event Grid.
Menggunakan rahasia klien sebagai parameter kueri
Anda juga dapat mengamankan titik akhir webhook dengan menambahkan parameter kueri ke URL tujuan webhook yang ditentukan sebagai bagian dari pembuatan Langganan kejadian. Atur salah satu parameter kueri menjadi rahasia klien seperti token akses atau rahasia bersama. Layanan Event Grid mencakup semua parameter kueri dalam setiap permintaan pengiriman kejadian ke webhook. Layanan webhook dapat mengambil dan memvalidasi rahasia. Jika rahasia klien diperbarui, langganan kejadian juga perlu diperbarui. Untuk menghindari kegagalan pengiriman selama rotasi rahasia ini, buat webhook menerima rahasia lama dan baru untuk durasi terbatas sebelum memperbarui langganan kejadian dengan rahasia baru.
Karena parameter kueri dapat berisi rahasia klien, parameter tersebut ditangani dengan perawatan tambahan. Mereka disimpan sebagai terenkripsi dan tidak dapat diakses oleh operator layanan. Mereka tidak dicatat sebagai bagian dari log/jejak layanan. Saat mengambil properti Langganan kejadian, parameter kueri tujuan tidak ditampilkan secara default. Misalnya: parameter --include-full-endpoint-url akan digunakan di Azure CLI.
Untuk informasi selengkapnya tentang pengiriman kejadian ke webhook, lihat Pengiriman kejadian webhook
Penting
Azure Event Grid hanya mendukung titik akhir webhook HTTPS.
Validasi titik akhir dengan CloudEvents v1.0
Jika Anda sudah terbiasa dengan Event Grid, Anda mungkin mengetahui jabat tangan validasi titik akhir untuk mencegah penyalahgunaan. CloudEvents v1.0 mengimplementasikan semantik perlindungan penyalahgunaannya sendiri dengan menggunakan metode HTTP OPTIONS. Untuk membaca selengkapnya tentang hal itu, lihat HTTP 1.1 Web Hooks untuk pengiriman kejadian - Versi 1.0. Saat Anda menggunakan skema CloudEvents untuk output, Event Grid menggunakan perlindungan penyalahgunaan CloudEvents v1.0 sebagai menggantikan mekanisme peristiwa validasi Event Grid. Untuk informasi selengkapnya, lihat Menggunakan skema CloudEvents v1.0 dengan Event Grid.
Langkah berikutnya
Lihat Mengautentikasi klien penerbitan untuk mempelajari tentang mengautentikasi klien yang menerbitkan kejadian ke topik atau domain.