Använda hanterade identiteter för att komma åt Event Hubs från ett Azure Stream Analytics-jobb
Azure Stream Analytics stöder hanterad identitetsautentisering för både In- och utdata från Azure Event Hubs. Hanterade identiteter eliminerar begränsningarna för användarbaserade autentiseringsmetoder, till exempel behovet av att autentisera igen på grund av lösenordsändringar eller förfallodatum för användartoken som inträffar var 90:e dag. När du tar bort behovet av att manuellt autentisera kan dina Stream Analytics-distributioner automatiseras helt.
En hanterad identitet är ett hanterat program registrerat i Microsoft Entra-ID som representerar ett visst Stream Analytics-jobb. Det hanterade programmet används för att autentisera till en målresurs, inklusive händelsehubbar som finns bakom en brandvägg eller ett virtuellt nätverk (VNet). Mer information om hur du kringgår brandväggar finns i Tillåt åtkomst till Azure Event Hubs-namnområden via privata slutpunkter.
Den här artikeln visar hur du aktiverar hanterad identitet för en händelsehubbindata eller utdata för ett Stream Analytics-jobb via Azure-portalen. Innan du har aktiverat Hanterad identitet måste du först ha ett Stream Analytics-jobb och en Event Hubs-resurs.
Skapa en hanterad identitet
Först skapar du en hanterad identitet för ditt Azure Stream Analytics-jobb.
Öppna ditt Azure Stream Analytics-jobb i Azure-portalen.
I den vänstra navigeringsmenyn väljer du Hanterad identitet under Konfigurera. Markera sedan kryssrutan bredvid Använd systemtilldelad hanterad identitet och välj Spara.
Ett tjänsthuvudnamn för Stream Analytics-jobbets identitet skapas i Microsoft Entra-ID. Livscykeln för den nyligen skapade identiteten hanteras av Azure. När Stream Analytics-jobbet tas bort tas den associerade identiteten (dvs. tjänstens huvudnamn) bort automatiskt av Azure.
När du sparar konfigurationen visas objekt-ID (OID) för tjänstens huvudnamn som huvudnamns-ID enligt nedan:
Tjänstens huvudnamn har samma namn som Stream Analytics-jobbet. Om namnet på jobbet till exempel är
MyASAJobär namnet på tjänstens huvudnamn ocksåMyASAJob.
Ge Stream Analytics-jobbet behörighet att komma åt Event Hubs
För att Stream Analytics-jobbet ska få åtkomst till din händelsehubb med hjälp av hanterad identitet måste tjänstens huvudnamn som du skapade ha särskilda behörigheter till händelsehubben.
Välj Åtkomstkontroll (IAM) .
Välj Lägg till>rolltilldelning för att öppna sidan Lägg till rolltilldelning.
Tilldela följande roll. Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.
Kommentar
När du ger åtkomst till en resurs bör du ge den åtkomst som behövs minst. Beroende på om du konfigurerar Event Hubs som indata eller utdata kanske du inte behöver tilldela rollen Azure Event Hubs-dataägare som skulle ge mer än nödvändigt åtkomst till din Eventhub-resurs. Mer information finns i Autentisera ett program med Microsoft Entra-ID för åtkomst till Event Hubs-resurser
| Inställning | Värde |
|---|---|
| Roll | Azure Event Hubs-dataägare |
| Tilldela åtkomst till | Användaren, gruppen eller tjänstens huvudnamn |
| Members | <Namnet på ditt Stream Analytics-jobb> |
Du kan också bevilja den här rollen på eventhubbens namnområdesnivå, vilket naturligt sprider behörigheterna till alla händelsehubbar som skapats under den. Alla händelsehubbar under ett namnområde kan alltså användas som en hanterad identitetsautentiserande resurs i ditt Stream Analytics-jobb.
Kommentar
På grund av global replikering eller svarstid för cachelagring kan det uppstå en fördröjning när behörigheter återkallas eller beviljas. Ändringarna bör återspeglas inom 8 minuter.
Skapa en Event Hubs-indata eller utdata
Nu när din hanterade identitet har konfigurerats är du redo att lägga till händelsehubbens resurs som indata eller utdata till ditt Stream Analytics-jobb.
Lägga till Event Hubs som indata
Gå till Stream Analytics-jobbet och gå till sidan Indata under Jobbtopologi.
Välj Lägg till Stream Input > Event Hub. I fönstret Indataegenskaper söker du efter och väljer din händelsehubb och väljer Hanterad identitet i listrutan Autentiseringsläge .
Fyll i resten av egenskaperna och välj Spara.
Lägga till Event Hubs som utdata
Gå till Stream Analytics-jobbet och gå till sidan Utdata under Jobbtopologi.
Välj Lägg till > händelsehubb. I fönstret utdataegenskaper söker du efter och väljer din händelsehubb och väljer Hanterad identitet i listrutan Autentiseringsläge .
Fyll i resten av egenskaperna och välj Spara.