Autoryzowanie dostępu do zasobów usługi Event Hubs przy użyciu Microsoft Entra ID

  • Artykuł

Usługa Azure Event Hubs obsługuje używanie identyfikatora Entra firmy Microsoft do autoryzowania żądań do zasobów usługi Event Hubs. Za pomocą identyfikatora Entra firmy Microsoft możesz użyć kontroli dostępu na podstawie ról (RBAC) platformy Azure, aby udzielić uprawnień jednostce zabezpieczeń, która może być użytkownikiem lub jednostką usługi aplikacji. Aby dowiedzieć się więcej na temat ról i przypisań ról, zobacz Opis różnych ról.

Omówienie

Gdy podmiot zabezpieczeń (użytkownik lub aplikacja) próbuje uzyskać dostęp do zasobu usługi Event Hubs, żądanie musi być autoryzowane. W przypadku identyfikatora Entra firmy Microsoft dostęp do zasobu jest procesem dwuetapowym.

  1. Najpierw tożsamość podmiotu zabezpieczeń jest uwierzytelniana, a token OAuth 2.0 jest zwracany. Nazwa zasobu do żądania tokenu to https://eventhubs.azure.net/, i jest taka sama dla wszystkich chmur/dzierżaw. W przypadku klientów platformy Kafka zasób żądania tokenu to https://<namespace>.servicebus.windows.net.
  2. Następnie token jest przekazywany w ramach żądania do usługi Event Hubs w celu autoryzowania dostępu do określonego zasobu.

Krok uwierzytelniania wymaga, aby żądanie aplikacji zawiera token dostępu OAuth 2.0 w czasie wykonywania. Jeśli aplikacja działa w ramach jednostki platformy Azure, takiej jak maszyna wirtualna platformy Azure, zestaw skalowania maszyn wirtualnych lub aplikacja funkcji platformy Azure, może użyć tożsamości zarządzanej w celu uzyskania dostępu do zasobów. Aby dowiedzieć się, jak uwierzytelniać żądania wysyłane przez tożsamość zarządzaną do usługi Event Hubs, zobacz Uwierzytelnianie dostępu do zasobów usługi Azure Event Hubs przy użyciu identyfikatora Entra firmy Microsoft i tożsamości zarządzanych dla zasobów platformy Azure.

Krok autoryzacji wymaga przypisania co najmniej jednej roli platformy Azure do podmiotu zabezpieczeń. Usługa Azure Event Hubs udostępnia role platformy Azure, które obejmują zestawy uprawnień dla zasobów usługi Event Hubs. Role przypisane do podmiotu zabezpieczeń określają uprawnienia, które będzie miał podmiot zabezpieczeń. Aby uzyskać więcej informacji na temat ról platformy Azure, zobacz Role wbudowane platformy Azure dla usługi Azure Event Hubs.

Aplikacje natywne i aplikacje internetowe, które wysyłają żądania do usługi Event Hubs, mogą również autoryzować za pomocą identyfikatora Entra firmy Microsoft. Aby dowiedzieć się, jak zażądać tokenu dostępu i użyć go do autoryzowania żądań dla zasobów usługi Event Hubs, zobacz Uwierzytelnianie dostępu do usługi Azure Event Hubs przy użyciu identyfikatora Entra firmy Microsoft z aplikacji.

Przypisywanie ról platformy Azure na potrzeby praw dostępu

Firma Microsoft Entra autoryzuje prawa dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu na podstawie ról (RBAC) platformy Azure. Usługa Azure Event Hubs definiuje zestaw wbudowanych ról platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych centrum zdarzeń, a także definiowanie ról niestandardowych na potrzeby uzyskiwania dostępu do danych.

Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń firmy Microsoft Entra platforma Azure udziela dostępu do tych zasobów dla tego podmiotu zabezpieczeń. Dostęp można ograniczyć do poziomu subskrypcji, grupy zasobów, przestrzeni nazw usługi Event Hubs lub dowolnego zasobu. Podmiot zabezpieczeń firmy Microsoft Entra może być użytkownikiem lub jednostką usługi aplikacji albo tożsamością zarządzaną dla zasobów platformy Azure.

Wbudowane role platformy Azure dla usługi Azure Event Hubs

Platforma Azure udostępnia następujące wbudowane role platformy Azure umożliwiające autoryzowanie dostępu do danych usługi Event Hubs przy użyciu identyfikatora Entra firmy Microsoft i protokołu OAuth:

Rola opis
Właściciel danych usługi Azure Event Hubs Użyj tej roli, aby zapewnić pełny dostęp do zasobów usługi Event Hubs.
Nadawca danych usługi Azure Event Hubs Użyj tej roli, aby udzielić dostępu do wysyłania do zasobów usługi Event Hubs.
Odbiornik danych usługi Azure Event Hubs Użyj tej roli, aby przyznać dostęp do zasobów usługi Event Hubs korzystających/odbierających.

Aby uzyskać wbudowane role rejestru schematów, zobacz Role rejestru schematów.

Zakres zasobu

Przed przypisaniem roli platformy Azure do podmiotu zabezpieczeń określ zakres dostępu, który powinien mieć podmiot zabezpieczeń. Najlepsze rozwiązania określają, że zawsze najlepiej przyznać tylko najwęższy możliwy zakres.

Poniższa lista zawiera opis poziomów, na których można określić zakres dostępu do zasobów usługi Event Hubs, począwszy od najwęższego zakresu:

  • Grupa odbiorców: w tym zakresie przypisanie roli ma zastosowanie tylko do tej jednostki. Obecnie witryna Azure Portal nie obsługuje przypisywania roli platformy Azure do podmiotu zabezpieczeń na tym poziomie.
  • Centrum zdarzeń: przypisanie roli dotyczy centrów zdarzeń i ich grup odbiorców.
  • Przestrzeń nazw: przypisanie roli obejmuje całą topologię usługi Event Hubs w przestrzeni nazw i do skojarzonej z nią grupy odbiorców.
  • Grupa zasobów: przypisanie roli dotyczy wszystkich zasobów usługi Event Hubs w grupie zasobów.
  • Subskrypcja: przypisanie roli dotyczy wszystkich zasobów usługi Event Hubs we wszystkich grupach zasobów w subskrypcji.

Uwaga

  • Pamiętaj, że propagacja przypisań ról platformy Azure może potrwać do pięciu minut.
  • Ta zawartość dotyczy zarówno usług Event Hubs, jak i Event Hubs dla platformy Apache Kafka. Aby uzyskać więcej informacji na temat obsługi usługi Event Hubs dla platformy Kafka, zobacz Event Hubs for Kafka — zabezpieczenia i uwierzytelnianie.

Aby uzyskać więcej informacji na temat sposobu definiowania ról wbudowanych, zobacz Omówienie definicji ról. Aby uzyskać informacje na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure.

Przykłady

Następne kroki

Zobacz następujące powiązane artykuły: