Toegang tot Azure Event Hubs autoriseren

Telkens wanneer u gebeurtenissen publiceert of gebruikt vanuit een Event Hub, probeert uw client toegang te krijgen tot Event Hubs-resources. Elke aanvraag voor een beveiligde resource moet worden geautoriseerd, zodat de service ervoor kan zorgen dat de client over de vereiste machtigingen beschikt om de gegevens te publiceren of te gebruiken.

Azure Event Hubs biedt de volgende opties voor het autoriseren van toegang tot beveiligde resources:

• Microsoft Entra ID
• Shared Access Signature

Notitie

Dit artikel is van toepassing op zowel Event Hubs- als Apache Kafka-scenario's .

Microsoft Entra ID

Microsoft Entra-integratie met Event Hubs-resources biedt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor fijnmazige controle over de toegang van een client tot resources. U kunt Azure RBAC gebruiken om machtigingen te verlenen aan een beveiligingsprincipaal. Dit kan een gebruiker, een groep of een toepassingsservice-principal zijn. Microsoft Entra verifieert de beveiligingsprincipaal en retourneert een OAuth 2.0-token. Het token kan worden gebruikt om een aanvraag te autoriseren voor toegang tot een Event Hubs-resource.

Zie de volgende artikelen voor meer informatie over verificatie met Microsoft Entra ID:

• Aanvragen verifiëren bij Azure Event Hubs met behulp van Microsoft Entra-id
• Autoriseren van toegang tot Event Hubs-resources met behulp van Microsoft Entra-id.

Shared Access Signatures

Shared Access Signatures (SAS) voor Event Hubs-resources bieden beperkte gedelegeerde toegang tot Event Hubs-resources. Het toevoegen van beperkingen voor het tijdsinterval waarvoor de handtekening geldig is of over machtigingen die de handtekening verleent, biedt flexibiliteit bij het beheren van resources. Zie Verifiëren met Shared Access Signatures (SAS) voor meer informatie.

Het autoriseren van gebruikers of toepassingen met behulp van een OAuth 2.0-token dat wordt geretourneerd door Microsoft Entra ID biedt superieure beveiliging en gebruiksgemak ten opzichte van handtekeningen voor gedeelde toegang (SAS). Met Microsoft Entra ID hoeft u de toegangstokens niet op te slaan met uw code en potentiële beveiligingsproblemen te riskeren. Hoewel u shared access signatures (SAS) kunt blijven gebruiken om nauwkeurige toegang te verlenen tot Event Hubs-resources, biedt Microsoft Entra ID vergelijkbare mogelijkheden zonder dat u SAS-tokens hoeft te beheren of u zorgen hoeft te maken over het intrekken van een gecompromitteerde SAS.

Standaard zijn alle Event Hubs-resources beveiligd en zijn ze alleen beschikbaar voor de accounteigenaar. Hoewel u een van de hierboven beschreven autorisatiestrategieën kunt gebruiken om clients toegang te verlenen tot Event Hubs-resources. Microsoft raadt het gebruik van Microsoft Entra-id aan, indien mogelijk voor maximale beveiliging en gebruiksgemak.

Zie Toegang tot Event Hubs-resources autoriseren met behulp van Shared Access Signatures voor meer informatie over autorisatie met behulp van SAS.

Volgende stappen

• Bekijk Azure RBAC-voorbeelden die zijn gepubliceerd in onze GitHub-opslagplaats.
• Zie de volgende artikelen:
  • Aanvragen verifiëren bij Azure Event Hubs vanuit een toepassing met behulp van Microsoft Entra-id
  • Een beheerde identiteit verifiëren met Microsoft Entra-id voor toegang tot Event Hubs-resources
  • Aanvragen verifiëren bij Azure Event Hubs met behulp van Shared Access Signatures
  • Toegang tot Event Hubs-resources autoriseren met behulp van Microsoft Entra-id
  • Toegang tot Event Hubs-resources autoriseren met Shared Access Signatures