Авторизация доступа к службе "Центры событий Azure"
Каждый раз, когда вы публикуете события в концентраторе событий или потребляете события, клиент пытается получить доступ к ресурсам Центров событий. Каждый запрос к защищенному ресурсу должен быть авторизован, чтобы служба удостовериться, что у клиента есть необходимые разрешения на публикацию или использование данных.
Центры событий Azure предлагают следующие варианты авторизации доступа к защищенным ресурсам:
- Microsoft Entra ID
- Подписанный URL-адрес
Примечание.
Эта статья относится как к Центрам событий, так и к сценариям Apache Kafka.
Microsoft Entra ID
Интеграция Microsoft Entra с ресурсами Центров событий обеспечивает управление доступом на основе ролей Azure (RBAC) для точного контроля доступа клиента к ресурсам. Вы можете использовать Azure RBAC для предоставления разрешений субъекту безопасности, который может быть пользователем, группой или субъектом службы приложения. Microsoft Entra проверяет подлинность субъекта безопасности и возвращает маркер OAuth 2.0. Маркер можно использовать для авторизации запроса на доступ к ресурсу Центров событий.
Дополнительные сведения о проверке подлинности с помощью идентификатора Microsoft Entra см. в следующих статьях:
- Проверка подлинности запросов на Центры событий Azure с помощью идентификатора Microsoft Entra
- Авторизация доступа к ресурсам Центров событий с помощью идентификатора Microsoft Entra.
Подписанные URL-адреса
Подписи общего доступа (SAS) для ресурсов Центров событий обеспечивают ограниченный делегированный доступ к ресурсам Центров событий. Добавление ограничений на временной интервал, в течение которого подпись действительна, или на разрешения, которые она предоставляет, обеспечивает гибкость в управлении ресурсами. Дополнительные сведения см. в разделе Проверка подлинности с использованием подписей общего доступа (SAS).
Авторизация пользователей или приложений с помощью маркера OAuth 2.0, возвращаемого идентификатором Microsoft Entra, обеспечивает более высокую безопасность и удобство использования по подписанным URL-адресам (SAS). С идентификатором Microsoft Entra не требуется хранить маркеры доступа с кодом и потенциальными уязвимостями безопасности. Хотя вы можете продолжать использовать подписанные URL-адреса (SAS) для предоставления точного доступа к ресурсам Центров событий, идентификатор Microsoft Entra ID предлагает аналогичные возможности без необходимости управлять маркерами SAS или беспокоиться о отмене скомпрометированного SAS.
По умолчанию все ресурсы Центров событий защищены и доступны только владельцу учетной записи. Хотя вы можете использовать любую из стратегий авторизации, описанных выше, для предоставления клиентам доступа к ресурсам Центров событий. Корпорация Майкрософт рекомендует использовать идентификатор Microsoft Entra, если это возможно для максимальной безопасности и простоты использования.
Дополнительные сведения об авторизации с помощью SAS см. в разделе Авторизация доступа к ресурсам Центров событий с помощью подписей общего доступа.
Следующие шаги
- Просмотрите Образцы Azure RBAC, опубликованные в нашем репозитории GitHub.
- См. следующие статьи:
- Проверка подлинности запросов на Центры событий Azure из приложения с помощью идентификатора Microsoft Entra
- Проверка подлинности управляемого удостоверения с помощью идентификатора Microsoft Entra для доступа к ресурсам Центров событий
- Проверка подлинности запросов к Центрам событий Azure с помощью подписей общего доступа
- Авторизация доступа к ресурсам Центров событий с помощью Microsoft Entra ID
- Авторизация доступа к ресурсам Центров событий с помощью подписанных URL-адресов
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по