Autenticare il recapito degli eventi ai gestori eventi (Griglia di eventi di Azure)
Questo articolo fornisce informazioni sull'autenticazione del recapito di eventi ai gestori eventi.
Panoramica
Griglia di eventi di Azure usa metodi di autenticazione diversi per recapitare eventi ai gestori eventi. `
| Metodo di autenticazione | Gestori eventi supportati | Descrizione |
|---|---|---|
| Chiave di accesso | - Hub eventi - bus di servizio - code Archiviazione - Inoltro di Connessione ibride - Funzioni di Azure - BLOB Archiviazione (deadletter) |
Le chiavi di accesso vengono recuperate usando le credenziali dell'entità servizio di Griglia di eventi. Le autorizzazioni vengono concesse a Griglia di eventi quando si registra il provider di risorse di Griglia di eventi nella sottoscrizione di Azure. |
| Identità del sistema gestito & Controllo degli accessi in base al ruolo |
- Hub eventi - bus di servizio - code Archiviazione - BLOB Archiviazione (deadletter) |
Abilitare l'identità del sistema gestito per l'argomento e aggiungerla al ruolo appropriato nella destinazione. Per informazioni dettagliate, vedere Usare le identità assegnate dal sistema per il recapito degli eventi. |
| Autenticazione del token di connessione con webhook protetto da Microsoft Entra | Webhook | Per informazioni dettagliate, vedere la sezione Autenticare il recapito di eventi agli endpoint webhook. |
| Segreto client come parametro di query | Webhook | Per informazioni dettagliate, vedere la sezione Uso del segreto client come parametro di query. |
Nota
Se si protegge la funzione di Azure con un'app Microsoft Entra, è necessario adottare l'approccio webhook generico usando il trigger HTTP. Usare l'endpoint della funzione di Azure come URL webhook quando si aggiunge la sottoscrizione.
Usare le identità assegnate dal sistema per il recapito di eventi
È possibile abilitare un'identità gestita assegnata dal sistema per un argomento o un dominio e usare l'identità per inoltrare eventi a destinazioni supportate, ad esempio bus di servizio code e argomenti, hub eventi e account di archiviazione.
Di seguito sono riportati i passaggi necessari:
- Creare un argomento o un dominio con un'identità assegnata dal sistema o aggiornare un argomento o un dominio esistente per abilitare l'identità. Per altre informazioni, vedere Abilitare l'identità gestita per un argomento di sistema o Abilitare l'identità gestita per un argomento personalizzato o un dominio
- Aggiungere l'identità a un ruolo appropriato ( ad esempio, bus di servizio mittente dati) nella destinazione (ad esempio, una coda di bus di servizio). Per altre informazioni, vedere Concedere all'identità l'accesso alla destinazione griglia di eventi
- Quando si creano sottoscrizioni di eventi, abilitare l'utilizzo dell'identità per recapitare gli eventi alla destinazione. Per altre informazioni, vedere Creare una sottoscrizione di eventi che usa l'identità.
Per istruzioni dettagliate, vedere Recapito di eventi con un'identità gestita.
Autenticare il recapito di eventi agli endpoint webhook
Le sezioni seguenti descrivono come autenticare il recapito di eventi agli endpoint webhook. Usare un meccanismo di handshake di convalida indipendentemente dal metodo usato. Per informazioni dettagliate, vedere Recapito eventi webhook.
Uso dell'ID Microsoft Entra
È possibile proteggere l'endpoint webhook usato per ricevere eventi da Griglia di eventi usando Microsoft Entra ID. È necessario creare un'applicazione Microsoft Entra, creare un ruolo e un'entità servizio nell'applicazione che autorizza Griglia di eventi e configurare la sottoscrizione di eventi per l'uso dell'applicazione Microsoft Entra. Informazioni su come configurare Microsoft Entra ID con Griglia di eventi.
Uso del segreto client come parametro di query
È possibile proteggere l'endpoint webhook aggiungendo i parametri di query all'URL di destinazione del webhook indicato come parte della creazione di una sottoscrizione di eventi. Impostare uno dei parametri di query in modo che sia un segreto client, ad esempio un token di accesso o un segreto condiviso. Il servizio Griglia di eventi includerà tutti questi parametri di query in ogni richiesta di recapito di eventi al webhook. Il servizio webhook può recuperare e convalidare il segreto. Se il segreto client viene aggiornato, è necessario aggiornare anche la sottoscrizione dell'evento. Per evitare errori di recapito durante questa rotazione del segreto, fare in modo che il webhook accetti sia i segreti vecchi che quelli nuovi per un periodo limitato prima di aggiornare la sottoscrizione con il nuovo segreto.
Poiché i parametri di query possono contenere segreti client, vengono gestiti con maggiore attenzione. Vengono archiviati come crittografati e non sono accessibili agli operatori del servizio. Non vengono registrati come parte dei log o delle tracce del servizio. Quando si recuperano le proprietà della sottoscrizione di eventi, i parametri delle query di destinazione non vengono restituiti per impostazione predefinita. Ad esempio, il parametro --include-full-endpoint-URL deve essere usato nell'interfaccia della riga di comando di Azure.
Per altre informazioni su come recapitare gli eventi ai webhook, vedere Recapito eventi webhook.
Importante
Griglia di eventi di Azure supporta solo endpoint webhook HTTPS.
Convalida degli endpoint con CloudEvents v1.0
Se si ha già familiarità con Griglia di eventi, è possibile conoscere l'handshake di convalida dell'endpoint per prevenire gli abusi. CloudEvents v1.0 implementa la propria semantica di protezione da abusi usando il metodo HTTP OPTIONS . Per altre informazioni, vedere Web Hook HTTP 1.1 per il recapito di eventi - Versione 1.0. Quando si usa lo schema CloudEvents per l'output, Griglia di eventi usa la protezione dagli abusi di CloudEvents v1.0 al posto del meccanismo di eventi di convalida di Griglia di eventi. Per altre informazioni, vedere Usare lo schema CloudEvents v1.0 con Griglia di eventi.
Passaggi successivi
Vedere Autenticare i client di pubblicazione per informazioni sull'autenticazione dei client che pubblicano eventi in argomenti o domini.