Поделиться через


Авторизация доступа к ресурсам Центров событий с помощью Microsoft Entra ID

Центры событий Azure поддерживает использование идентификатора Microsoft Entra для авторизации запросов к ресурсам Центров событий. С помощью идентификатора Microsoft Entra можно использовать управление доступом на основе ролей Azure (RBAC) для предоставления разрешений субъекту безопасности, который может быть пользователем или субъектом-службой приложений. Чтобы узнать больше о ролях и назначениях ролей, ознакомьтесь с общими сведениями о различных ролях.

Обзор

Когда субъект безопасности (пользователь или приложение) пытается получить доступ к ресурсу Центров событий, вам понадобится выполнить авторизацию запроса. С идентификатором Microsoft Entra доступ к ресурсу является двухэтапным процессом.

  1. Сначала проверяется подлинность субъекта безопасности и возвращается токен OAuth 2.0. Именем ресурса для запроса токена является https://eventhubs.azure.net/. Оно одинаково для всех облаков или клиентов. Для клиентов Kafka ресурсом для запроса токена является https://<namespace>.servicebus.windows.net.
  2. Затем токен передается как часть запроса к службе Центров событий для авторизации доступа к указанному ресурсу.

Для этапа аутентификации требуется, чтобы запрос от приложения содержал маркер доступа OAuth 2.0 в среде выполнения. Если приложение выполняется в сущности Azure, такой как виртуальная машина Azure, масштабируемый набор виртуальных машин или приложение-функция Azure, оно может использовать для доступа к ресурсам управляемое удостоверение. Сведения о проверке подлинности запросов, сделанных управляемым удостоверением в службу Центров событий, см. в статье "Проверка подлинности доступа к ресурсам Центры событий Azure с помощью идентификатора Microsoft Entra и управляемых удостоверений для ресурсов Azure".

На этапе авторизации субъекту безопасности необходимо назначить одну или несколько ролей Azure. Центры событий Azure предоставляют роли Azure, охватывающие наборы разрешений для ресурсов Центров событий. Роли, назначаемые участнику безопасности, определяют разрешения, которые он будет иметь. Дополнительные сведения о ролях Azure см. в статье Встроенные роли Azure для службы "Центр событий Azure".

Собственные приложения и веб-приложения, которые выполняют запросы к Центрам событий, также могут авторизоваться с помощью идентификатора Microsoft Entra. Сведения о том, как запросить маркер доступа и использовать его для авторизации запросов к ресурсам Центров событий, см. в статье "Проверка подлинности доступа к Центры событий Azure с помощью идентификатора Microsoft Entra из приложения".

Назначение ролей Azure для предоставления прав доступа

Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC). Центры событий Azure определяют набор встроенных ролей Azure, которые включают в себя общие наборы разрешений, используемых для доступа к концентраторам событий. Вы также можете определить настраиваемые роли для доступа к данным.

Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Доступ может быть ограничен уровнем подписки, группой ресурсов, пространством имен концентраторов событий или любым ресурсом. Субъект безопасности Microsoft Entra может быть пользователем, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.

Встроенные роли Azure для Центров событий Azure

Azure предоставляет следующие встроенные роли Azure для авторизации доступа к данным Центров событий с помощью идентификатора Microsoft Entra и OAuth:

Роль Description
Владелец данных Центров событий Azure Используйте эту роль, чтобы предоставить полный доступ к ресурсам Центров событий.
Отправитель данных Центров событий Azure Используйте эту роль, чтобы предоставить разрешения на отправку для ресурсов Центров событий.
Получатель данных Центров событий Azure Используйте эту роль, чтобы предоставить разрешения на использование или получение для ресурсов Центров событий.

Встроенные роли реестра схем см. в разделе Роли реестра схем.

Область ресурса

Прежде чем назначить роль Azure субъекту безопасности, определите для него область доступа. Рекомендуется всегда предоставлять максимально узкие области.

В следующем списке описаны уровни, на которых вы можете ограничить доступ к ресурсам Центров событий, начиная с самой узкой области:

  • Группа потребителей. В этой области назначение ролей применяется только к этой сущности. Сейчас портал Azure не поддерживает назначение роли Azure субъекту безопасности на этом уровне.
  • Концентратор событий: назначение ролей применяется к концентраторам событий и их группам потребителей.
  • Пространство имен. Назначение роли охватывает всю топологию Центров событий в пространстве имен и связанную с ним группу потребителей.
  • Группа ресурсов. Назначение ролей применяется ко всем ресурсам Центров событий в группе ресурсов.
  • Подписка. Назначение ролей применяется ко всем ресурсам Центров событий во всех группах ресурсов в подписке.

Примечание.

  • Помните, что для распространения назначений ролей Azure может потребоваться до пяти минут.
  • Это содержимое относится как к Центрам событий, так и к Центрам событий для Apache Kafka. Дополнительные сведения о поддержке Центров событий для Kafka см. в разделе Безопасность и проверка подлинности.

Дополнительные сведения об определении встроенных ролей см. в разделе Общие сведения об определениях ролей. Дополнительные сведения о создании настраиваемых ролей Azure см. в разделе Настраиваемые роли Azure.

Примеры

См. следующие статьи по этой теме: