Olay işleyicilerine olay teslimi kimliğini doğrulama (Azure Event Grid)
Bu makalede, olay işleyicilerine olay teslimi kimlik doğrulaması hakkında bilgi sağlanır.
Genel Bakış
Azure Event Grid, olayları olay işleyicilerine teslim etmek için farklı kimlik doğrulama yöntemleri kullanır. `
| Kimlik doğrulama yöntemi | Desteklenen olay işleyicileri | Açıklama |
|---|---|---|
| Erişim anahtarı | - Event Hubs - Service Bus - Depolama Kuyrukları - Geçiş Karma Bağlan ions - Azure İşlevleri - Depolama Blobları (Deadletter) |
Erişim anahtarları Event Grid hizmet sorumlusu kimlik bilgileri kullanılarak getirilir. Event Grid kaynak sağlayıcısını Azure aboneliğine kaydettiğinizde Event Grid'e izinler verilir. |
| Yönetilen Sistem Kimliği & Rol tabanlı erişim denetimi |
- Event Hubs - Service Bus - Depolama Kuyrukları - Depolama Blobları (Deadletter) |
Konu için yönetilen sistem kimliğini etkinleştirin ve hedefte uygun role ekleyin. Ayrıntılar için bkz . Olay teslimi için sistem tarafından atanan kimlikleri kullanma. |
| Microsoft Entra korumalı web kancası ile taşıyıcı belirteç kimlik doğrulaması | Web kancası | Ayrıntılar için Web kancası uç noktalarına olay tesliminin kimliğini doğrulama bölümüne bakın. |
| Sorgu parametresi olarak istemci gizli dizisi | Web kancası | Ayrıntılar için İstemci gizli dizisini sorgu parametresi olarak kullanma bölümüne bakın. |
Dekont
Azure işlevinizi bir Microsoft Entra uygulamasıyla korursanız HTTP tetikleyicisini kullanarak genel web kancası yaklaşımını benimsemeniz gerekir. Aboneliği eklerken Web kancası URL'si olarak Azure işlev uç noktasını kullanın.
Olay teslimi için sistem tarafından atanan kimlikleri kullanma
Bir konu veya etki alanı için sistem tarafından atanan yönetilen kimliği etkinleştirebilir ve service Bus kuyrukları ve konuları, olay hub'ları ve depolama hesapları gibi desteklenen hedeflere olayları iletmek için bu kimliği kullanabilirsiniz.
Adımlar aşağıdaki gibidir:
- Sistem tarafından atanan kimlikle bir konu veya etki alanı oluşturun ya da kimliği etkinleştirmek için var olan bir konuyu veya etki alanını güncelleştirin. Daha fazla bilgi için bkz. Sistem konusu için yönetilen kimliği etkinleştirme veya Özel konu veya etki alanı için yönetilen kimliği etkinleştirme
- Kimliği hedefte uygun bir role (örneğin, Service Bus Veri Göndereni) ekleyin (örneğin, Service Bus kuyruğu). Daha fazla bilgi için bkz . Event Grid hedefine erişim izni verme
- Olay abonelikleri oluşturduğunuzda, hedefe olay teslim etmek için kimliğin kullanımını etkinleştirin. Daha fazla bilgi için bkz . Kimliği kullanan bir olay aboneliği oluşturma.
Ayrıntılı adım adım yönergeler için bkz . Yönetilen kimlikle olay teslimi.
Web kancası uç noktalarına olay teslimi kimliğini doğrulama
Aşağıdaki bölümlerde web kancası uç noktalarına olay tesliminin kimliğinin nasıl doğrulandığı açıklanmaktadır. Kullandığınız yöntemden bağımsız olarak doğrulama el sıkışma mekanizması kullanın. Ayrıntılar için bkz . Web kancası olay teslimi .
Microsoft Entra Kimliğini Kullanma
Microsoft Entra Id kullanarak Event Grid'den olay almak için kullanılan web kancası uç noktasının güvenliğini sağlayabilirsiniz. Bir Microsoft Entra uygulaması oluşturmanız, uygulamanızda Event Grid'i yetkilendirilen bir rol ve hizmet sorumlusu oluşturmanız ve olay aboneliğini Microsoft Entra uygulamasını kullanacak şekilde yapılandırmanız gerekir. Event Grid ile Microsoft Entra Id'yi yapılandırmayı öğrenin.
Sorgu parametresi olarak istemci gizli dizisi kullanma
Olay Aboneliği oluşturmanın bir parçası olarak belirtilen web kancası hedef URL'sine sorgu parametreleri ekleyerek web kancası uç noktanızın güvenliğini de sağlayabilirsiniz. Sorgu parametrelerinden birini erişim belirteci veya paylaşılan gizli dizi gibi bir istemci gizli dizisi olarak ayarlayın. Event Grid hizmeti, web kancasına yapılan her olay teslim isteğindeki tüm sorgu parametrelerini içerir. Web kancası hizmeti gizli diziyi alabilir ve doğrulayabilir. İstemci gizli dizisi güncelleştirildiyse olay aboneliğinin de güncelleştirilmesi gerekir. Bu gizli dizi döndürme sırasında teslim hatalarını önlemek için, olay aboneliğini yeni gizli diziyle güncelleştirmeden önce web kancasının hem eski hem de yeni gizli dizileri sınırlı bir süre kabul etmelerini sağlayın.
Sorgu parametreleri istemci gizli dizileri içerebileceğinden, bunlar ek dikkatle işlenir. Bunlar şifrelenmiş olarak depolanır ve hizmet operatörleri tarafından erişilemez. Bunlar hizmet günlüklerinin/izlemelerinin bir parçası olarak günlüğe kaydedilmez. Olay Aboneliği özellikleri alınırken hedef sorgu parametreleri varsayılan olarak döndürülmüyor. Örneğin: --include-full-endpoint-url parametresi Azure CLI'da kullanılacaktır.
Web kancalarına olay teslimi hakkında daha fazla bilgi için bkz. Web kancası olay teslimi
Önemli
Azure Event Grid yalnızca HTTPS web kancası uç noktalarını destekler.
CloudEvents v1.0 ile uç nokta doğrulaması
Event Grid'i zaten biliyorsanız kötüye kullanımı önlemeye yönelik uç nokta doğrulama el sıkışmasının farkında olabilirsiniz. CloudEvents v1.0, HTTP OPTIONS yöntemini kullanarak kendi kötüye kullanım koruma semantiğini uygular. Bu konuda daha fazla bilgi edinmek için bkz . Olay teslimi için HTTP 1.1 Web Kancaları - Sürüm 1.0. Çıkış için CloudEvents şemasını kullandığınızda Event Grid, Event Grid doğrulama olay mekanizması yerine CloudEvents v1.0 kötüye kullanım korumasını kullanır. Daha fazla bilgi için bkz . Event Grid ile CloudEvents v1.0 şemasını kullanma.
Sonraki adımlar
Konu başlıklarına veya etki alanlarına olay yayımlayarak istemcilerin kimliğini doğrulama hakkında bilgi edinmek için bkz. Yayımlama istemcilerinin kimliğini doğrulama.