Авторизация доступа к ресурсам Центров событий с помощью Microsoft Entra ID
Центры событий Azure поддерживает использование идентификатора Microsoft Entra для авторизации запросов к ресурсам Центров событий. С помощью идентификатора Microsoft Entra можно использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъекту безопасности, который может быть пользователем или субъектом-службой приложений. Чтобы узнать больше о ролях и назначениях ролей, ознакомьтесь с общими сведениями о различных ролях.
Обзор
Когда субъект безопасности (пользователь или приложение) пытается получить доступ к ресурсу Центров событий, вам понадобится выполнить авторизацию запроса. С идентификатором Microsoft Entra доступ к ресурсу является двухэтапным процессом.
- Сначала проверяется подлинность субъекта безопасности и возвращается токен OAuth 2.0. Именем ресурса для запроса токена является
https://eventhubs.azure.net/. Оно одинаково для всех облаков или клиентов. Для клиентов Kafka ресурсом для запроса токена являетсяhttps://<namespace>.servicebus.windows.net. - Затем токен передается как часть запроса к службе Центров событий для авторизации доступа к указанному ресурсу.
Для этапа аутентификации требуется, чтобы запрос от приложения содержал маркер доступа OAuth 2.0 в среде выполнения. Если приложение выполняется в сущности Azure, такой как виртуальная машина Azure, масштабируемый набор виртуальных машин или приложение-функция Azure, оно может использовать для доступа к ресурсам управляемое удостоверение. Сведения о проверке подлинности запросов, сделанных управляемым удостоверением в службу Центров событий, см. в статье "Проверка подлинности доступа к ресурсам Центры событий Azure с помощью идентификатора Microsoft Entra и управляемых удостоверений для ресурсов Azure".
На этапе авторизации субъекту безопасности необходимо назначить одну или несколько ролей Azure. Центры событий Azure предоставляют роли Azure, охватывающие наборы разрешений для ресурсов Центров событий. Роли, назначаемые участнику безопасности, определяют разрешения, которые он будет иметь. Дополнительные сведения о ролях Azure см. в статье Встроенные роли Azure для службы "Центр событий Azure".
Собственные приложения и веб-приложения, которые выполняют запросы к Центрам событий, также могут авторизоваться с помощью идентификатора Microsoft Entra. Сведения о том, как запросить маркер доступа и использовать его для авторизации запросов к ресурсам Центров событий, см. в статье "Проверка подлинности доступа к Центры событий Azure с помощью идентификатора Microsoft Entra из приложения".
Назначение ролей Azure для предоставления прав доступа
Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC). Центры событий Azure определяют набор встроенных ролей Azure, которые включают в себя общие наборы разрешений, используемых для доступа к концентраторам событий. Вы также можете определить настраиваемые роли для доступа к данным.
Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Доступ может быть ограничен уровнем подписки, группой ресурсов, пространством имен концентраторов событий или любым ресурсом. Субъект безопасности Microsoft Entra может быть пользователем, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.
Встроенные роли Azure для Центров событий Azure
Azure предоставляет следующие встроенные роли Azure для авторизации доступа к данным Центров событий с помощью идентификатора Microsoft Entra и OAuth:
| Роль | Description |
|---|---|
| Владелец данных Центров событий Azure | Используйте эту роль, чтобы предоставить полный доступ к ресурсам Центров событий. |
| Отправитель данных Центров событий Azure | Используйте эту роль, чтобы предоставить разрешения на отправку для ресурсов Центров событий. |
| Получатель данных Центров событий Azure | Используйте эту роль, чтобы предоставить разрешения на использование или получение для ресурсов Центров событий. |
Встроенные роли реестра схем см. в разделе Роли реестра схем.
Область ресурса
Прежде чем назначить роль Azure субъекту безопасности, определите для него область доступа. Рекомендуется всегда предоставлять максимально узкие области.
В следующем списке описаны уровни, на которых вы можете ограничить доступ к ресурсам Центров событий, начиная с самой узкой области:
- Группа потребителей. В этой области назначение ролей применяется только к этой сущности. Сейчас портал Azure не поддерживает назначение роли Azure субъекту безопасности на этом уровне.
- Концентратор событий: назначение ролей применяется к концентраторам событий и их группам потребителей.
- Пространство имен. Назначение роли охватывает всю топологию Центров событий в пространстве имен и связанную с ним группу потребителей.
- Группа ресурсов. Назначение ролей применяется ко всем ресурсам Центров событий в группе ресурсов.
- Подписка. Назначение ролей применяется ко всем ресурсам Центров событий во всех группах ресурсов в подписке.
Примечание.
- Помните, что для распространения назначений ролей Azure может потребоваться до пяти минут.
- Это содержимое относится как к Центрам событий, так и к Центрам событий для Apache Kafka. Дополнительные сведения о поддержке Центров событий для Kafka см. в разделе Безопасность и проверка подлинности.
Дополнительные сведения об определении встроенных ролей см. в разделе Общие сведения об определениях ролей. Дополнительные сведения о создании настраиваемых ролей Azure см. в разделе Настраиваемые роли Azure.
Примеры
Примеры Microsoft.Azure.EventHubs.
В этих примерах используется устаревшая библиотека Microsoft.Azure.EventHubs , но ее можно легко обновить до последней библиотеки Azure.Messaging.EventHubs . Чтобы переместить пример из устаревшей библиотеки в новую, см. руководство по миграции с Microsoft.Azure.EventHubs на Azure.Messaging.EventHubs.
Примеры Azure.Messaging.EventHubs
Этот пример обновлен, и теперь может использовать последнюю версию библиотеки Azure.Messaging.EventHubs.
Следующие шаги
- Узнайте, как назначить встроенную роль Azure субъекту безопасности, см . статью "Проверка подлинности доступа к ресурсам Центров событий" с помощью идентификатора Microsoft Entra.
- Узнайте , как создавать настраиваемые роли с помощью Azure RBAC.
- Узнайте , как использовать идентификатор Microsoft Entra с EH
См. следующие статьи по этой теме:
- Проверка подлинности запросов на Центры событий Azure из приложения с помощью идентификатора Microsoft Entra
- Проверка подлинности управляемого удостоверения с помощью идентификатора Microsoft Entra для доступа к ресурсам Центров событий
- Проверка подлинности запросов к Центрам событий Azure с помощью подписей общего доступа
- Авторизация доступа к ресурсам Центров событий с помощью подписанных URL-адресов
Кері байланыс
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз: https://aka.ms/ContentUserFeedback.
Жіберу және пікірді көру