Toegang tot gebeurtenissen beheren
Azure Event Hubs ondersteunt zowel Microsoft Entra ID als Shared Access Signatures (SAS) voor zowel verificatie als autorisatie. Azure biedt de volgende ingebouwde Azure-rollen voor het autoriseren van toegang tot Event Hubs-gegevens met behulp van Microsoft Entra ID en OAuth:
- Azure Event Hubs-gegevenseigenaar: gebruik deze rol om volledige toegang te verlenen tot Event Hubs-resources.
- Azure Event Hubs-gegevenszender: gebruik deze rol om toegang te verlenen tot Event Hubs-resources.
- Azure Event Hubs-gegevensontvanger: gebruik deze rol om toegang te verlenen tot Event Hubs-resources.
Toegang met beheerde identiteiten autoriseren
Als u een aanvraag voor de Event Hubs-service wilt autoriseren vanuit een beheerde identiteit in uw toepassing, moet u op rollen gebaseerd toegangsbeheer van Azure configureren voor die beheerde identiteit. Azure Event Hubs definieert Azure-rollen die machtigingen omvatten voor het verzenden en lezen van Event Hubs. Wanneer de Azure-rol is toegewezen aan een beheerde identiteit, krijgt de beheerde identiteit toegang tot Event Hubs-gegevens op het juiste bereik.
Toegang autoriseren met Microsoft Identity Platform
Een belangrijk voordeel van het gebruik van Microsoft Entra-id met Event Hubs is dat uw referenties niet meer hoeven te worden opgeslagen in uw code. In plaats daarvan kunt u een OAuth 2.0-toegangstoken aanvragen bij het Microsoft Identity Platform. Microsoft Entra verifieert de beveiligingsprincipaal (een gebruiker, een groep of service-principal) die de toepassing uitvoert. Als de verificatie slaagt, retourneert Microsoft Entra-id het toegangstoken naar de toepassing en kan de toepassing vervolgens het toegangstoken gebruiken om aanvragen voor Azure Event Hubs te autoriseren.
Toegang tot Event Hubs-uitgevers autoriseren met handtekeningen voor gedeelde toegang
Een gebeurtenisuitgever definieert een virtueel eindpunt voor een Event Hubs. De uitgever kan alleen worden gebruikt om berichten naar een Event Hub te verzenden en geen berichten te ontvangen. Normaal gesproken maakt een Event Hub gebruik van één uitgever per client. Alle berichten die naar een van de uitgevers van een Event Hub worden verzonden, worden in die Event Hub geplaatst. Uitgevers maken gedetailleerd toegangsbeheer mogelijk.
Aan elke Event Hubs-client wordt een uniek token toegewezen dat naar de client wordt geüpload. Een client met een token kan alleen verzenden naar één uitgever en geen andere uitgever. Als meerdere clients hetzelfde token delen, deelt elk van deze clients de uitgever.
Alle tokens worden toegewezen met handtekeningsleutels voor gedeelde toegang. Normaal gesproken worden alle tokens ondertekend met dezelfde sleutel. Clients zijn niet op de hoogte van de sleutel, waardoor clients geen tokens kunnen produceren. Clients werken op dezelfde tokens totdat ze verlopen.
Toegang tot Event Hubs-consumenten autoriseren met handtekeningen voor gedeelde toegang
Voor het verifiëren van back-endtoepassingen die gebruikmaken van de gegevens die worden gegenereerd door Event Hubs-producenten, vereist Event Hubs-tokenverificatie dat de clients beschikken over de beheerrechten of de luisterbevoegdheden die zijn toegewezen aan de Event Hubs-naamruimte of het event hub-exemplaar of onderwerp. Gegevens worden gebruikt vanuit Event Hubs met behulp van consumentengroepen. Hoewel SAS-beleid u een gedetailleerd bereik biedt, wordt dit bereik alleen gedefinieerd op entiteitsniveau en niet op consumentenniveau. Dit betekent dat de bevoegdheden die zijn gedefinieerd op het niveau van de naamruimte of het Event Hub-exemplaar of onderwerpniveau, zijn voor de consumentengroepen van die entiteit.