Autorizace přístupu k prostředkům služby Event Hubs pomocí Microsoft Entra ID

Článek
12/11/2023

Azure Event Hubs podporuje použití ID Microsoft Entra k autorizaci požadavků na prostředky služby Event Hubs. S ID Microsoft Entra můžete pomocí řízení přístupu na základě role v Azure (Azure RBAC) udělit oprávnění k objektu zabezpečení, což může být uživatel nebo instanční objekt aplikace. Další informace o rolích a přiřazeních rolí najdete v tématu Vysvětlení různých rolí.

Přehled

Když se objekt zabezpečení (uživatel nebo aplikace) pokusí o přístup k prostředku služby Event Hubs, musí být požadavek autorizovaný. S ID Microsoft Entra je přístup k prostředku dvoustupňový proces.

Nejprve se ověří identita objektu zabezpečení a vrátí se token OAuth 2.0. Název prostředku pro vyžádání tokenu je https://eventhubs.azure.net/a je stejný pro všechny cloudy a tenanty. Pro klienty Kafka je prostředek, který si vyžádá token, je https://<namespace>.servicebus.windows.net.
Dále se token předá jako součást požadavku službě Event Hubs za účelem autorizace přístupu k zadanému prostředku.

Krok ověřování vyžaduje, aby žádost aplikace obsahovala přístupový token OAuth 2.0 za běhu. Pokud je aplikace spuštěná v rámci entity Azure, jako je virtuální počítač Azure, škálovací sada virtuálních počítačů nebo aplikace Azure Functions, může pro přístup k prostředkům použít spravovanou identitu. Informace o ověřování požadavků provedených spravovanou identitou ve službě Event Hubs najdete v tématu Ověřování přístupu k prostředkům Azure Event Hubs pomocí ID Microsoft Entra a spravovaných identit pro prostředky Azure.

Krok autorizace vyžaduje, aby k objektu zabezpečení byla přiřazena jedna nebo více rolí Azure. Azure Event Hubs poskytuje role Azure, které zahrnují sady oprávnění pro prostředky služby Event Hubs. Role přiřazené k objektu zabezpečení určují oprávnění, která bude mít objekt zabezpečení. Další informace o rolích Azure najdete v tématu Předdefinované role Azure pro Azure Event Hubs.

Nativní aplikace a webové aplikace, které do služby Event Hubs můžou také autorizovat ID Microsoft Entra. Informace o tom, jak požádat o přístupový token a použít ho k autorizaci žádostí o prostředky služby Event Hubs, najdete v tématu Ověření přístupu ke službě Azure Event Hubs pomocí ID Microsoft Entra z aplikace.

Přiřazení rolí Azure pro přístupová práva

Microsoft Entra autorizuje přístupová práva k zabezpečeným prostředkům prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC). Azure Event Hubs definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k datům centra událostí a můžete také definovat vlastní role pro přístup k datům.

Když je role Azure přiřazená k objektu zabezpečení Microsoft Entra, Azure udělí přístup k těmto prostředkům pro tento objekt zabezpečení. Přístup může být vymezen na úroveň předplatného, skupiny prostředků, oboru názvů služby Event Hubs nebo jakéhokoli prostředku v rámci tohoto předplatného. Objekt zabezpečení Microsoft Entra může být uživatel, instanční objekt aplikace nebo spravovaná identita pro prostředky Azure.

Předdefinované role Azure pro Azure Event Hubs

Azure poskytuje následující předdefinované role Azure pro autorizaci přístupu k datům služby Event Hubs pomocí Microsoft Entra ID a OAuth:

Role	Popis
Vlastník dat služby Azure Event Hubs	Pomocí této role můžete udělit úplný přístup k prostředkům služby Event Hubs.
Odesílatel dat služby Azure Event Hubs	Tato role slouží k udělení přístupu k prostředkům služby Event Hubs.
Příjemce dat služby Azure Event Hubs	Pomocí této role můžete udělit využívání a přijímání přístupu k prostředkům služby Event Hubs.

Předdefinované role registru schématu najdete v tématu Role registru schématu.

Obor prostředku

Před přiřazením role Azure k objektu zabezpečení určete rozsah přístupu, který má mít objekt zabezpečení. Osvědčené postupy určují, že je vždy nejlepší udělit pouze nejužší možný rozsah.

Následující seznam popisuje úrovně, na kterých můžete omezit přístup k prostředkům služby Event Hubs, počínaje nejužším oborem:

Skupina příjemců: V tomto oboru se přiřazení role vztahuje pouze na tuto entitu. Azure Portal v současné době nepodporuje přiřazování role Azure k objektu zabezpečení na této úrovni.
Centrum událostí: Přiřazení role se vztahuje na centra událostí a jejich skupiny příjemců.
Obor názvů: Přiřazení role zahrnuje celou topologii služby Event Hubs pod oborem názvů a skupinu příjemců přidruženou k ní.
Skupina prostředků: Přiřazení role se vztahuje na všechny prostředky služby Event Hubs v rámci skupiny prostředků.
Předplatné: Přiřazení role se vztahuje na všechny prostředky služby Event Hubs ve všech skupinách prostředků v předplatném.

Poznámka:

Mějte na paměti, že rozšíření přiřazení rolí Azure může trvat až pět minut.
Tento obsah platí pro službu Event Hubs i Event Hubs pro Apache Kafka. Další informace o podpoře služby Event Hubs pro Kafka najdete v tématu Event Hubs pro Kafka – zabezpečení a ověřování.

Další informace o tom, jak jsou definované předdefinované role, najdete v tématu Vysvětlení definic rolí. Informace o vytváření vlastních rolí Azure najdete v tématu Vlastní role Azure.

Ukázky

Ukázky Microsoft.Azure.EventHubs

Tyto ukázky používají starší knihovnu Microsoft.Azure.EventHubs , ale můžete ji snadno aktualizovat na nejnovější knihovnu Azure.Messaging.EventHubs . Pokud chcete přesunout ukázku ze starší knihovny na novou, přečtěte si průvodce migrací z Microsoft.Azure.EventHubs na Azure.Messaging.EventHubs.
Ukázky Azure.Messaging.EventHubs

Tato ukázka byla aktualizována tak, aby používala nejnovější knihovnu Azure.Messaging.EventHubs .
Event Hubs pro Kafka – ukázky OAuth

Další kroky

Zjistěte, jak přiřadit předdefinované role Azure k objektu zabezpečení, přečtěte si téma Ověřování přístupu k prostředkům služby Event Hubs pomocí ID Microsoft Entra.
Naučte se vytvářet vlastní role pomocí Azure RBAC.
Zjistěte , jak používat ID Microsoft Entra s EH.

Projděte si následující související články: