Autoryzacja dostępu do usługi Azure Event Hubs

Za każdym razem, gdy publikujesz lub zużywasz zdarzenia z centrum zdarzeń, klient próbuje uzyskać dostęp do zasobów usługi Event Hubs. Każde żądanie bezpiecznego zasobu musi być autoryzowane, aby usługa mogła zapewnić, że klient ma wymagane uprawnienia do publikowania lub korzystania z danych.

Usługa Azure Event Hubs umożliwia skorzystanie z następujących opcji autoryzowania dostępu w celu zabezpieczenia zasobów:

• Identyfikator usługi Microsoft Entra
• Sygnatura dostępu współdzielonego

Uwaga

Ten artykuł dotyczy zarówno usług Event Hubs, jak i Apache Kafka .

Identyfikator usługi Microsoft Entra

Integracja firmy Microsoft Entra z zasobami usługi Event Hubs zapewnia kontrolę dostępu opartą na rolach platformy Azure (Azure RBAC) w celu precyzyjnej kontroli dostępu klienta do zasobów. Kontrola dostępu oparta na rolach platformy Azure umożliwia przyznawanie uprawnień podmiotowi zabezpieczeń, który może być użytkownikiem, grupą lub jednostką usługi aplikacji. Firma Microsoft Entra uwierzytelnia podmiot zabezpieczeń i zwraca token OAuth 2.0. Token może służyć do autoryzowania żądania dostępu do zasobu usługi Event Hubs.

Aby uzyskać więcej informacji na temat uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft, zobacz następujące artykuły:

• Uwierzytelnianie żądań w usłudze Azure Event Hubs przy użyciu identyfikatora Entra firmy Microsoft
• Autoryzowanie dostępu do zasobów usługi Event Hubs przy użyciu identyfikatora Entra firmy Microsoft.

Sygnatury dostępu współdzielonego

Sygnatury dostępu współdzielonego (SAS) dla zasobów usługi Event Hubs zapewniają ograniczony delegowany dostęp do zasobów usługi Event Hubs. Dodawanie ograniczeń w interwale czasu, dla którego sygnatura jest prawidłowa lub uprawnienia, które przyznaje, zapewnia elastyczność zarządzania zasobami. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie przy użyciu sygnatur dostępu współdzielonego (SAS).

Autoryzowanie użytkowników lub aplikacji przy użyciu tokenu OAuth 2.0 zwróconego przez identyfikator Firmy Microsoft Entra zapewnia lepsze zabezpieczenia i łatwość użycia za pośrednictwem sygnatur dostępu współdzielonego (SAS). W przypadku identyfikatora Entra firmy Microsoft nie ma potrzeby przechowywania tokenów dostępu przy użyciu kodu i ryzyka potencjalnych luk w zabezpieczeniach. Mimo że można nadal używać sygnatur dostępu współdzielonego (SAS) do udzielania szczegółowego dostępu do zasobów usługi Event Hubs, identyfikator Entra firmy Microsoft oferuje podobne możliwości bez konieczności zarządzania tokenami SAS lub martwienia się o odwołanie naruszonej sygnatury dostępu współdzielonego.

Domyślnie wszystkie zasoby usługi Event Hubs są zabezpieczone i są dostępne tylko dla właściciela konta. Chociaż można użyć dowolnej strategii autoryzacji opisanej powyżej w celu udzielenia klientom dostępu do zasobów usługi Event Hubs. Firma Microsoft zaleca korzystanie z identyfikatora Entra firmy Microsoft, jeśli jest to możliwe w celu zapewnienia maksymalnego bezpieczeństwa i łatwości użycia.

Aby uzyskać więcej informacji na temat autoryzacji przy użyciu sygnatur dostępu współdzielonego, zobacz Autoryzowanie dostępu do zasobów usługi Event Hubs przy użyciu sygnatur dostępu współdzielonego.

Następne kroki

• Przejrzyj przykłady kontroli dostępu opartej na rolach platformy Azure opublikowane w naszym repozytorium GitHub.
• Zobacz następujące artykuły:
  • Uwierzytelnianie żądań w usłudze Azure Event Hubs z aplikacji przy użyciu identyfikatora Entra firmy Microsoft
  • Uwierzytelnianie tożsamości zarządzanej za pomocą identyfikatora Entra firmy Microsoft w celu uzyskania dostępu do zasobów usługi Event Hubs
  • Uwierzytelnianie żądań w usłudze Azure Event Hubs przy użyciu sygnatur dostępu współdzielonego
  • Autoryzowanie dostępu do zasobów usługi Event Hubs przy użyciu identyfikatora Entra firmy Microsoft
  • Autoryzowanie dostępu do zasobów usługi Event Hubs przy użyciu sygnatur dostępu współdzielonego