Ověřování doručování událostí do obslužných rutin událostí (Azure Event Grid)
Tento článek obsahuje informace o ověřování doručování událostí obslužné rutiny událostí.
Přehled
Azure Event Grid používá různé metody ověřování k doručování událostí obslužné rutinám událostí. `
| Metoda ověřování | Podporované obslužné rutiny událostí | Popis |
|---|---|---|
| Přístupový klíč | – Event Hubs – Service Bus – Fronty úložiště - Relay Hybrid Připojení ions – Azure Functions – Objekty blob úložiště (Deadletter) |
Přístupové klíče se načítají pomocí přihlašovacích údajů instančního objektu služby Event Grid. Tato oprávnění se službě Event Grid udělí při registraci poskytovatele prostředků Event Gridu v jeho předplatném Azure. |
| Identita spravovaného systému & Řízení přístupu na základě role |
– Event Hubs – Service Bus – Fronty úložiště – Objekty blob úložiště (Deadletter) |
Povolte identitu spravovaného systému pro dané téma a přidejte ji do příslušné role v cíli. Podrobnosti najdete v tématu Použití identit přiřazených systémem pro doručování událostí. |
| Ověřování nosným tokenem pomocí webhooku chráněného microsoftem Entra | Webhook | Podrobnosti najdete v části Ověření doručování událostí do koncových bodů webhooku . |
| Tajný klíč klienta jako parametr dotazu | Webhook | Podrobnosti najdete v části Použití tajného klíče klienta jako parametru dotazu. |
Poznámka:
Pokud chráníte funkci Azure pomocí aplikace Microsoft Entra, budete muset použít obecný přístup k webhooku pomocí triggeru HTTP. Při přidávání předplatného použijte koncový bod funkce Azure jako adresu URL webhooku.
Použití identit přiřazených systémem pro doručování událostí
Můžete povolit spravovanou identitu přiřazenou systémem pro téma nebo doménu a pomocí identity předávat události do podporovaných cílů, jako jsou fronty a témata služby Service Bus, centra událostí a účty úložiště.
Postup je následující:
- Vytvořte téma nebo doménu s identitou přiřazenou systémem nebo aktualizujte existující téma nebo doménu, abyste povolili identitu. Další informace najdete v tématu povolení spravované identity pro systémové téma nebo povolení spravované identity pro vlastní téma nebo doménu.
- Přidejte identitu do příslušné role (například odesílatele dat služby Service Bus) v cíli (například fronta služby Service Bus). Další informace najdete v tématu Udělení přístupu k cíli Event Gridu identitou.
- Při vytváření odběrů událostí povolte použití identity k doručování událostí do cíle. Další informace najdete v tématu Vytvoření odběru událostí, který používá identitu.
Podrobné pokyny najdete v tématu Doručování událostí se spravovanou identitou.
Ověřování doručování událostí do koncových bodů webhooku
Následující části popisují, jak ověřovat doručování událostí do koncových bodů webhooku. Použijte ověřovací mechanismus metody handshake bez ohledu na metodu, kterou používáte. Podrobnosti najdete v tématu Doručování událostí Webhooku.
Použití ID Microsoft Entra
Koncový bod webhooku, který se používá k příjmu událostí z Event Gridu, můžete zabezpečit pomocí ID Microsoft Entra. Potřebujete vytvořit aplikaci Microsoft Entra, vytvořit roli a instanční objekt ve vaší aplikaci pro autorizaci Event Gridu a nakonfigurovat odběr událostí tak, aby používal aplikaci Microsoft Entra. Zjistěte, jak nakonfigurovat ID Microsoft Entra pomocí Event Gridu.
Použití tajného klíče klienta jako parametru dotazu
Koncový bod webhooku můžete také zabezpečit přidáním parametrů dotazu do cílové adresy URL webhooku zadané v rámci vytváření odběru událostí. Nastavte jeden z parametrů dotazu na tajný klíč klienta, jako je přístupový token nebo sdílený tajný klíč. Služba Event Grid zahrnuje všechny parametry dotazu v každém požadavku na doručení události do webhooku. Služba webhooku může načíst a ověřit tajný kód. Pokud je tajný klíč klienta aktualizovaný, je potřeba aktualizovat také odběr událostí. Aby se zabránilo selhání doručení během této obměny tajných kódů, přijměte webhook staré i nové tajné kódy po omezenou dobu před aktualizací odběru událostí novým tajným kódem.
Protože parametry dotazu můžou obsahovat tajné kódy klienta, zpracovávají se opatrně. Ukládají se jako šifrované a nejsou přístupné operátorům služeb. Nejsou protokolovány jako součást protokolů nebo trasování služby. Při načítání vlastností odběru událostí se ve výchozím nastavení nevrátí parametry cílového dotazu. Příklad: parametr --include-full-endpoint-url se použije v Azure CLI.
Další informace o doručování událostí do webhooků najdete v tématu Doručování událostí webhooku.
Důležité
Azure Event Grid podporuje pouze koncové body webhooku HTTPS .
Ověření koncového bodu pomocí CloudEvents v1.0
Pokud už službu Event Grid znáte, možná znáte metodu handshake ověření koncového bodu, abyste zabránili zneužití. CloudEvents v1.0 implementuje vlastní sémantiku ochrany před zneužitím pomocí metody HTTP OPTIONS. Další informace najdete v tématu HTTP 1.1 Web Hooks pro doručování událostí – verze 1.0. Když pro výstup použijete schéma CloudEvents, služba Event Grid místo mechanismu událostí ověření služby Event Grid používá ochranu před zneužitím CloudEvents v1.0. Další informace najdete v tématu Použití schématu CloudEvents v1.0 se službou Event Grid.
Další kroky
Informace o ověřování událostí klientů publikování do témat nebo domén najdete v tématu nebo doménách, kde se dozvíte o ověřování událostí publikování klientů.