Mengontrol akses ke peristiwa
Azure Event Hubs mendukung ID Microsoft Entra dan tanda tangan akses bersama (SAS) untuk menangani autentikasi dan otorisasi. Azure menyediakan peran bawaan Azure berikut untuk mengotorisasi akses ke data Azure Event Hubs menggunakan MICROSOFT Entra ID dan OAuth:
- Pemilik Data Azure Event Hubs: Gunakan peran ini untuk memberikan akses lengkap ke sumber daya Event Hubs.
- Pengirim Data Azure Event Hubs: Gunakan peran ini untuk memberikan akses kirim ke sumber daya Event Hubs.
- Penerima Data Azure Event Hubs: Gunakan peran ini untuk memberikan akses penerimaan ke sumber daya Event Hubs.
Mengotorisasi akses dengan identitas terkelola
Untuk mengotorisasi permintaan ke layanan Event Hubs dari identitas terkelola di aplikasi Anda, konfigurasikan pengaturan kontrol akses berbasis peran Azure untuk identitas terkelola tersebut. Azure Event Hubs mendefinisikan peran Azure yang mencakup izin untuk mengirim dan membaca dari Azure Event Hubs. Saat peran Azure ditetapkan ke identitas terkelola, identitas terkelola diberikan akses ke data Azure Event Hubs pada cakupan yang sesuai.
Mengotorisasi akses dengan platform identitas Microsoft
Keuntungan utama menggunakan ID Microsoft Entra dengan Azure Event Hubs adalah kredensial Anda tidak perlu lagi disimpan dalam kode Anda. Sebagai gantinya, Anda dapat meminta token akses OAuth 2.0 dari platform Identitas Microsoft. Microsoft Entra mengautentikasi prinsip keamanan (pengguna, grup, atau perwakilan layanan) yang menjalankan aplikasi. Jika autentikasi berhasil, ID Microsoft Entra mengembalikan token akses ke aplikasi, dan aplikasi kemudian dapat menggunakan token akses untuk mengotorisasi permintaan ke Azure Event Hubs.
Mengotorisasi akses ke penerbit Event Hubs dengan tanda tangan akses bersama
Penerbit peristiwa mendefinisikan titik akhir virtual untuk Azure Event Hubs. Penerbit hanya dapat digunakan untuk mengirim pesan ke hub peristiwa dan tidak menerima pesan. Biasanya, hub peristiwa menggunakan satu penerbit per klien. Semua pesan yang dikirim ke salah satu penerbit hub peristiwa diantrekan dalam hub peristiwa tersebut. Penerbit mengaktifkan kontrol akses mendetail.
Setiap klien Azure Event Hubs diberi token unik yang diunggah ke klien. Klien yang memegang token hanya dapat mengirim ke satu penerbit, dan tidak ada penerbit lain. Jika beberapa klien berbagi token yang sama, maka masing-masing dari mereka berbagi penerbit.
Semua token diberi kunci tanda tangan akses bersama. Biasanya, semua token ditandatangani dengan kunci yang sama. Klien tidak mengetahui kuncinya, yang mencegah klien dari pembuatan token. Klien beroperasi pada token yang sama sampai kedaluwarsa.
Mengotorisasi akses ke konsumen Event Hubs dengan tanda tangan akses bersama
Untuk mengautentikasi aplikasi back-end yang mengkonsumsi dari data yang dihasilkan oleh produsen Azure Event Hubs, autentikasi token Azure Event Hubs mengharuskan kliennya untuk memiliki hak kelola atau hak mendengarkan yang ditetapkan ke namespace layanan Azure Event Hubs atau instans atau topik hub peristiwa. Data dikonsumsi dari Azure Event Hubs menggunakan grup konsumen. Meskipun kebijakan SAS memberi Anda cakupan terperinci, cakupan ini hanya didefinisikan pada tingkat entitas dan bukan di tingkat konsumen. Ini berarti bahwa hak istimewa yang ditentukan pada tingkat namespace layanan atau instans hub peristiwa atau tingkat topik adalah untuk grup konsumen entitas tersebut.