Ověření aplikace pomocí Azure Active Directory přístupu k Event Hubs prostředkům

Microsoft Azure poskytuje integrovanou správu řízení přístupu pro prostředky a aplikace založené na Azure Active Directory (Azure AD). Klíčovou výhodou používání Azure AD s Azure Event Hubs je, že už nemusíte ukládat své přihlašovací údaje do kódu. Místo toho si můžete vyžádat přístupový token OAuth 2.0 z platformy Microsoft Identity Platform. Název prostředku pro vyžádání tokenu je a je stejný pro všechny cloudy a tenanty (pro klienty Kafka je prostředek pro vyžádání https://eventhubs.azure.net/ tokenu https://<namespace>.servicebus.windows.net ). Azure AD ověřuje objekt zabezpečení (uživatele, skupinu nebo objekt služby), ve které je aplikace spuštěná. Pokud ověření proběhne úspěšně, Azure AD vrátí aplikaci přístupový token a aplikace pak může přístupový token použít k autorizaci požadavku na Azure Event Hubs prostředků.

Když je k objektu zabezpečení Azure AD přiřazená role, Azure pro tento objekt zabezpečení udělí přístup k těmito prostředkům. Přístup může být vymezený úrovní předplatného, skupiny prostředků, oboru Event Hubs oboru názvů nebo jakéhokoli prostředku v rámci předplatného. Zabezpečení Azure AD může přiřazovat role uživateli, skupině, aplikačnímu objektu služby nebo spravované identitě pro prostředky Azure.

Poznámka

Definice role je kolekce oprávnění. Řízení přístupu na základě role v Azure (Azure RBAC) řídí, jak se tato oprávnění vynucuje prostřednictvím přiřazení role. Přiřazení role se skládá ze tří prvků: objekt zabezpečení, definice role a obor. Další informace najdete v tématu Vysvětlení různých rolí.

Předdefinované role pro Azure Event Hubs

Azure poskytuje následující předdefinované role Azure pro autorizaci přístupu k datům Event Hubs pomocí Azure AD a OAuth:

Předdefinované role registru schémat najdete v tématu Role registru schémat.

Důležité

Naše verze Preview podporovala přidání Event Hubs oprávnění pro přístup k datům do role Vlastník nebo Přispěvatel. Už se ale nebudou respektovat oprávnění pro přístup k datům pro roli Vlastník a Přispěvatel. Pokud používáte roli Vlastník nebo Přispěvatel, přepněte na používání role vlastník Azure Event Hubs dat.

Ověření z aplikace

Klíčovou výhodou používání Azure AD s Event Hubs je, že vaše přihlašovací údaje už nemusí být uložené v kódu. Místo toho si můžete vyžádat přístupový token OAuth 2.0 z platformy Microsoft Identity Platform. Azure AD ověřuje objekt zabezpečení (uživatele, skupinu nebo objekt služby), ve které je aplikace spuštěná. Pokud je ověření úspěšné, Azure AD vrátí přístupový token do aplikace a aplikace pak může přístupový token použít k autorizaci požadavků na Azure Event Hubs.

Následující části ukazují, jak nakonfigurovat nativní aplikaci nebo webovou aplikaci pro ověřování pomocí platformy Microsoft Identity Platform 2.0. Další informace o platformě Microsoft Identity Platform 2.0 najdete v tématu Přehled platformy Microsoft Identity Platform (v2.0).

Přehled toku udělení kódu OAuth 2.0 najdete v tématu Autorizace přístupu k webovým aplikacím Azure Active Directory pomocí toku udělení kódu OAuth 2.0.

Registrace aplikace v tenantovi Azure AD

Prvním krokem při použití Azure AD k autorizaci Event Hubs prostředků je registrace klientské aplikace v tenantovi Azure AD z Azure Portal. Při registraci klientské aplikace zadáte službě AD informace o aplikaci. Azure AD pak poskytne ID klienta (nazývané také ID aplikace), které můžete použít k přidružení aplikace k modulu runtime Azure AD. Další informace o ID klienta najdete v tématu aplikace a objekty zabezpečení služby v Azure Active Directory.

Následující obrázky ukazují kroky pro registraci webové aplikace:

Registrace aplikace

Poznámka

Pokud aplikaci zaregistrujete jako nativní aplikaci, můžete pro identifikátor URI přesměrování zadat libovolný platný identifikátor URI. Pro nativní aplikace nemusí být tato hodnota skutečnou adresou URL. Pro webové aplikace musí být identifikátor URI pro přesměrování platným identifikátorem URI, protože určuje adresu URL, na které jsou tokeny poskytovány.

Po zaregistrování aplikace se v části Nastavení zobrazí ID aplikace (klienta) :

ID aplikace registrované aplikace

Další informace o registraci aplikace v Azure AD najdete v tématu integrování aplikací pomocí Azure Active Directory.

Vytvoření tajného klíče klienta

Aplikace potřebuje při žádosti o tokenu klíč klienta k prokázání jeho identity. Chcete-li přidat tajný klíč klienta, postupujte podle těchto kroků.

  1. Přejděte k registraci vaší aplikace v Azure Portal.

  2. Vyberte nastavení certifikáty & tajných kódů.

  3. V části tajné klíče klienta vyberte nový tajný klíč klienta a vytvořte nový tajný klíč.

  4. Zadejte popis tajného kódu a vyberte požadovaný interval vypršení platnosti.

  5. Hodnotu nového tajného klíče hned zkopírujte do zabezpečeného umístění. Hodnota Fill se zobrazí pouze jednou.

    Tajný klíč klienta

Přiřazení rolí Azure pomocí Azure Portal

Po registraci aplikace přiřadíte instanční objekt aplikace k Event Hubs role služby Azure AD popsané v části předdefinované role pro Azure Event Hubs .

  1. V Azure Portalpřejděte do svého oboru názvů Event Hubs.

  2. Na stránce Přehled vyberte centrum událostí, pro které chcete přiřadit roli.

    Výběr centra událostí

  3. Vyberte Access Control (IAM) a zobrazte nastavení řízení přístupu pro centrum událostí.

  4. Vyberte kartu přiřazení rolí a zobrazte seznam přiřazení rolí. Na panelu nástrojů vyberte tlačítko Přidat a pak vyberte Přidat přiřazení role.

    Přidat tlačítko na panelu nástrojů

  5. Na stránce Přidat přiřazení role proveďte následující kroky:

    1. Vyberte roli Event Hubs , kterou chcete přiřadit.

    2. Vyhledejte objekt zabezpečení (uživatel, skupina, instanční objekt), ke kterému chcete přiřadit roli. Vyberte ze seznamu registrovanou aplikaci .

    3. Vyberte Uložit a uložte přiřazení role.

      Přiřazení role uživateli

    4. Přepněte na kartu přiřazení rolí a potvrďte přiřazení role. Například následující obrázek ukazuje, že MyWebApp je v roli odesilatele dat Azure Event Hubs .

      Uživatel v seznamu

Můžete postupovat podle podobných kroků a přiřadit obor role Event Hubs oboru názvů, skupiny prostředků nebo předplatného. Po definování role a jejího oboru můžete toto chování otestovat pomocí ukázek v tomto umístění GitHubu. Další informace o správě přístupu k prostředkům Azure pomocí Azure RBAC a Azure Portal najdete v tomto článku.

Klientské knihovny pro získání tokenu

Po zaregistrování aplikace a udělení oprávnění IT k posílání a přijímání dat v Azure Event Hubs můžete do své aplikace přidat kód pro ověření objektu zabezpečení a získání tokenu OAuth 2,0. K ověření a získání tokenu můžete použít některou z knihoven ověřování platformy Microsoft Identity Platform nebo jinou open source knihovnu, která podporuje OpenID nebo Connect 1.0. Vaše aplikace pak může přístupový token použít k autorizaci požadavku proti Azure Event Hubs.

Seznam scénářů, pro které se získání tokenů podporuje, najdete v části Scénáře úložiště Microsoft Authentication Library (MSAL) pro .NET Na GitHubu.

ukázky

Další kroky

Projděte si následující související články: