Usare le identità gestite per accedere ad Azure Cosmos DB da un processo di Analitica di Flusso di Azure
Azure Stream Analitica supporta l'autenticazione dell'identità gestita per l'output di Azure Cosmos DB. Le identità gestite eliminano le limitazioni associate ai metodi di autenticazione basata sull'utente, ad esempio la necessità di ripetere l'autenticazione a causa di modifiche della password o di scadenze dei token utente ogni 90 giorni. Quando si elimina la necessità di eseguire l'autenticazione manualmente, le distribuzioni di Analisi di flusso possono essere completamente automatizzate.
Un'identità gestita è un'applicazione gestita registrata in Microsoft Entra ID che rappresenta un determinato processo di Analisi di flusso. L'applicazione gestita viene usata per l'autenticazione in una risorsa di destinazione. Per altre informazioni sulle identità gestite per Analisi di flusso di Azure, vedere Identità gestite per Analisi di flusso di Azure.
Questo articolo illustra come abilitare l'identità gestita assegnata dal sistema per un output di Azure Cosmos DB di un processo di Analitica stream tramite il portale di Azure. Prima di abilitare l'identità gestita assegnata dal sistema, è necessario disporre di un processo di Analitica Stream e di una risorsa di Azure Cosmos DB.
Creare un'identità gestita
Per prima cosa, si crea un'identità gestita per il processo di Analisi di flusso di Azure.
Nel portale di Azure aprire il processo di Analisi di flusso di Azure.
Nel menu di spostamento a sinistra selezionare Identità gestita in Configura. Selezionare quindi la casella accanto a Usa identità gestita assegnata dal sistema e selezionare Salva.
In Microsoft Entra ID viene creata un'entità servizio per l'identità del processo di Analisi di flusso. Il ciclo di vita dell'identità creata viene gestito da Azure. Quando si elimina il processo di Analisi di flusso, l'identità associata (ovvero, l'entità servizio) viene eliminata automaticamente da Azure.
Quando si salva la configurazione, l'ID oggetto (OID) dell'entità servizio viene indicato come ID entità, come illustrato di seguito:
L'entità servizio ha lo stesso nome del processo di Analisi di flusso. Ad esempio, se il nome del processo è
MyASAJob, anche il nome dell'entità servizio èMyASAJob.
Concedere al processo di Analitica Stream le autorizzazioni per accedere all'account Azure Cosmos DB
Per consentire a Stream Analitica processo di accedere ad Azure Cosmos DB usando l'identità gestita, l'entità servizio creata deve avere autorizzazioni speciali per l'account Azure Cosmos DB. In questo passaggio è possibile assegnare un ruolo all'identità gestita assegnata dal sistema del processo di analisi di flusso. Azure Cosmos DB include più ruoli predefiniti che è possibile assegnare all'identità gestita. Per questa soluzione si userà il ruolo seguente:
| Ruolo predefinito |
|---|
| Collaboratore dati predefinito di Cosmos DB |
Importante
Il controllo degli accessi in base al ruolo predefinito del piano dati di Azure Cosmos DB non viene esposto tramite il portale di Azure. Per assegnare il ruolo Collaboratore dati predefinito di Cosmos DB, è necessario concedere l'autorizzazione tramite Azure PowerShell. Per altre informazioni sul controllo degli accessi in base al ruolo con Microsoft Entra ID per l'account Azure Cosmos DB, vedere configurare il controllo degli accessi in base al ruolo con l'ID Microsoft Entra per la documentazione dell'account Azure Cosmos DB.
Il comando seguente può essere usato per autenticare il processo ASA con Azure Cosmos DB. $accountName e $resourceGroupName sono per l'account Azure Cosmos DB e è $principalId il valore ottenuto nel passaggio precedente, nella scheda Identità del processo asa. Per il corretto funzionamento di questo comando, è necessario disporre dell'accesso "Collaboratore" all'account Azure Cosmos DB.
New-AzCosmosDBSqlRoleAssignment -AccountName $accountName -ResourceGroupName $resourceGroupName -RoleDefinitionId '00000000-0000-0000-0000-000000000002' -Scope "/" -PrincipalId $principalId
Nota
A causa della replica globale o della latenza di memorizzazione nella cache, quando le autorizzazioni vengono revocate o concesse potrebbe verificarsi un ritardo. Le modifiche devono essere riflesse entro 10 minuti. Anche se la connessione di test può superare inizialmente, i processi potrebbero non riuscire all'avvio prima della propagazione completa delle autorizzazioni.
Importante
Se l'account CosmosDB non è configurato per accettare connessioni da Tutte le reti, è necessario selezionare Accetta connessioni da data center di Azure pubblici.
Aggiungere Azure Cosmos DB come output
Ora che l'identità gestita è configurata, è possibile aggiungere la risorsa Azure Cosmos DB come output al processo di Analitica Stream.
Passare al processo di Analisi di flusso e passare alla pagina Output in Topologia processo.
Selezionare Aggiungi > Azure Cosmos DB. Nella finestra delle proprietà di output cercare e selezionare l'account Azure Cosmos DB e selezionare Identità gestita: Sistema assegnato dal menu a discesa Modalità di autenticazione.
Compilare le proprietà rimanenti e selezionare Salva.