Ověřování doručování událostí do obslužných rutin událostí (Azure Event Grid)
Tento článek poskytuje informace o ověřování doručování událostí do obslužných rutin událostí.
Přehled
Azure Event Grid používá jiné metody ověřování k doručování událostí obslužným rutinám událostí. `
| Metoda ověřování | Podporované obslužné rutiny | Description |
|---|---|---|
| Přístupový klíč | Event Hubs Service Bus Fronty služby Storage Hybrid Connections přenosu Azure Functions Storage Objekty BLOB (nedoručené zprávy) |
Přístupové klíče se načítají pomocí pověření Event Grid instančního objektu. Oprávnění se udělují Event Grid při registraci poskytovatele prostředků Event Grid ve svém předplatném Azure. |
| Identita spravovaného systému & Řízení přístupu na základě role |
Event Hubs Service Bus Fronty služby Storage Storage Objekty BLOB (nedoručené zprávy) |
Povolte identitu spravovaného systému tématu a přidejte ji do příslušné role v cíli. Podrobnosti najdete v tématu použití identit přiřazených systémem pro doručení události. |
| Ověřování pomocí tokenu nosiče s webhookem chráněným službou Azure AD | Webhook | Podrobnosti najdete v části ověření doručování událostí do koncových bodů Webhooku . |
| Tajný klíč klienta jako parametr dotazu | Webhook | Podrobnosti najdete v části použití tajného klíče klienta jako parametru dotazu . |
Použití identit přiřazených systémem pro doručování událostí
pro téma nebo doménu můžete povolit spravovanou identitu přiřazenou systémem a tuto identitu použít k přeposílání událostí do podporovaných cílů, jako jsou Service Bus fronty a témata, centra událostí a účty úložiště.
Tady je postup:
- Vytvořte téma nebo doménu s identitou přiřazenou systémem, nebo aktualizujte existující téma nebo doménu, aby bylo možné identitu povolit. Další informace najdete v tématu Povolení spravované identity pro systémové téma nebo Povolení spravované identity pro vlastní téma nebo doménu .
- přidejte identitu do příslušné role (například Service Bus odesílatel dat) v cíli (například Service Bus queue). Další informace najdete v tématu o celkové identitě přístup k Event Grid cíli .
- Při vytváření odběrů událostí povolte použití identity k doručování událostí do cíle. Další informace najdete v tématu Vytvoření odběru událostí, který používá identitu.
Podrobné pokyny najdete v tématu doručování událostí se spravovanou identitou.
Ověřování doručování událostí do koncových bodů Webhooku
Následující části popisují, jak ověřit doručování událostí do koncových bodů Webhooku. Použijte ověřovací mechanismus handshake bez ohledu na metodu, kterou používáte. Podrobnosti najdete v tématu věnovaném doručování událostí Webhooku .
Použití Azure Active Directory (Azure AD)
Koncový bod Webhooku, který se používá k přijímání událostí z Event Grid, můžete zabezpečit pomocí Azure AD. Budete muset vytvořit aplikaci Azure AD, vytvořit roli a instanční objekt v aplikaci s autorizací Event Grid a nakonfigurovat odběr událostí tak, aby používal aplikaci Azure AD. naučte se, jak nakonfigurovat Azure Active Directory svyužitím Event Grid.
Použití tajného klíče klienta jako parametru dotazu
Koncový bod Webhooku můžete také zabezpečit přidáním parametrů dotazu do cílové adresy URL Webhooku zadané jako součást vytvoření odběru události. Nastavte jeden z parametrů dotazu na tajný klíč klienta, jako je přístupový token nebo sdílený tajný klíč. Služba Event Grid zahrnuje všechny parametry dotazu v každé žádosti o doručení události Webhooku. Služba Webhooku může načíst a ověřit tajný klíč. Pokud se tajný klíč klienta aktualizuje, musí se taky aktualizovat předplatné událostí. Aby nedocházelo k chybám při obnově v tajnosti, zajistěte, aby Webhook přijal staré i nové tajné klíče po omezené době před aktualizací odběru událostí novým tajným klíčem.
Vzhledem k tomu, že parametry dotazu můžou obsahovat klientské tajné klíče, jsou zpracovávány s mimořádnou opatrností. Jsou uložené jako šifrované a nejsou k dispozici pro obsluhu služeb. Neprotokolují se jako součást protokolů/trasování služby. Při načítání vlastností odběru událostí nejsou ve výchozím nastavení vráceny cílové parametry dotazu. Příklad: parametr --include-Full-Endpoint-URL se používá v rozhraní příkazového řádku Azure CLI.
Další informace o doručování událostí do webhooků najdete v tématu doručování událostí Webhooku .
Důležité
Azure Event Grid podporuje pouze koncové body Webhooku protokolu HTTPS .
Ověření koncového bodu pomocí CloudEvents v 1.0
Pokud už jste obeznámeni s Event Grid, můžete znát metodu handshake ověřování koncového bodu, abyste zabránili zneužití. CloudEvents v 1.0 implementuje svou vlastní sémantiku ochrany proti zneužívání pomocí metody http . Další informace najdete v tématu Webhooky HTTP 1,1 pro doručování událostí – verze 1,0. Když pro výstup použijete schéma CloudEvents, Event Grid používá místo mechanismu události ověřování Event Grid ochranu proti zneužívání CloudEvents v 1.0. Další informace najdete v tématu použití schématu CloudEvents v 1.0 s Event Grid.
Další kroky
Další informace o ověřování klientů, kteří publikují události do témat nebo domén, najdete v tématu ověřování klientů publikování .