Autorizzare l'accesso alle risorse di Hub eventi usando Microsoft Entra ID

  • Articolo

Hub eventi di Azure supporta l'uso di Microsoft Entra ID per autorizzare le richieste alle risorse di Hub eventi. Con Microsoft Entra ID è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere autorizzazioni a un'entità di sicurezza, che può essere un utente o un'entità servizio dell'applicazione. Per altre informazioni sui ruoli e sulle assegnazioni di ruolo, vedere Informazioni sui diversi ruoli.

Panoramica

Quando un'entità di sicurezza (un utente o un'applicazione) tenta di accedere a una risorsa di Hub eventi, la richiesta deve essere autorizzata. Con Microsoft Entra ID, l'accesso a una risorsa è un processo in due passaggi.

  1. In primo luogo, l'identità dell'entità di sicurezza viene autenticata e viene restituito un token OAuth 2.0. Il nome della risorsa per richiedere un token è https://eventhubs.azure.net/e corrisponde a tutti i cloud/tenant. Per i client Kafka, la risorsa per richiedere un token è https://<namespace>.servicebus.windows.net.
  2. Il token viene quindi passato come parte di una richiesta al servizio Hub eventi per autorizzare l'accesso alla risorsa specificata.

Il passaggio di autenticazione richiede che una richiesta dell'applicazione contenga un token di accesso OAuth 2.0 in fase di esecuzione. Se un'applicazione è in esecuzione all'interno di un'entità di Azure, ad esempio una macchina virtuale, un set di scalabilità di macchine virtuali o un'app per le funzioni di Azure, può usare un'identità gestita per accedere alle risorse. Per informazioni su come autenticare le richieste effettuate da un'identità gestita al servizio Hub eventi, vedere Autenticare l'accesso alle risorse Hub eventi di Azure con l'ID Microsoft Entra e le identità gestite per le risorse di Azure.

Il passaggio di autorizzazione richiede l'assegnazione di uno o più ruoli di Azure all'entità di sicurezza. Hub eventi di Azure fornisce ruoli di Azure che includono set di autorizzazioni per le risorse di Hub eventi. I ruoli assegnati a un'entità di sicurezza determinano le autorizzazioni che l'entità avrà. Per altre informazioni sui ruoli di Azure, vedere Ruoli predefiniti di Azure per Hub eventi di Azure.

Le applicazioni native e le applicazioni Web che effettuano richieste a Hub eventi possono anche autorizzare con Microsoft Entra ID. Per informazioni su come richiedere un token di accesso e usarlo per autorizzare le richieste per le risorse di Hub eventi, vedere Autenticare l'accesso a Hub eventi di Azure con l'ID Microsoft Entra da un'applicazione.

Assegnare ruoli di Azure per i diritti di accesso

Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Hub eventi di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati dell'hub eventi ed è anche possibile definire ruoli personalizzati per l'accesso ai dati.

Quando un ruolo di Azure viene assegnato a un'entità di sicurezza Microsoft Entra, Azure concede l'accesso a tali risorse per tale entità di sicurezza. L'accesso può essere limitato al livello di sottoscrizione, al gruppo di risorse, allo spazio dei nomi di Hub eventi o a qualsiasi risorsa al suo interno. Un'entità di sicurezza Di Microsoft Entra può essere un utente o un'entità servizio dell'applicazione o un'identità gestita per le risorse di Azure.

Ruoli predefiniti di Azure per Hub eventi di Azure

Azure prevede i seguenti ruoli predefiniti per l'autorizzazione dell'accesso ai dati di Hub eventi tramite Microsoft Entra ID e OAuth:

Ruolo Descrizione
Hub eventi di Azure Proprietario dati usare questo ruolo per concedere accesso completo{i>
Hub eventi di Azure Mittente dati Usare questo ruolo per concedere all'utente l'accesso alle risorse di Hub eventi.
ricevitore dati Hub eventi di Azure Usare questo ruolo per concedere all'utente o alla ricezione l'accesso alle risorse di Hub eventi.

Per i ruoli predefiniti del Registro schemi, vedere Ruoli del Registro di sistema dello schema.

Ambito risorsa

Prima di assegnare un ruolo Controllo degli accessi in base al ruolo a un'entità di sicurezza, determinare l'ambito di accesso che dovrà avere. In base alle procedure consigliate, è sempre preferibile concedere solo l'ambito più restrittivo possibile.

L'elenco seguente descrive i livelli in cui è possibile definire l'ambito dell'accesso alle risorse di Hub eventi, a partire dall'ambito più ristretto:

  • Gruppo di consumer: in questo ambito, l'assegnazione di ruolo si applica solo a questa entità. Attualmente, il portale di Azure non supporta l'assegnazione di un ruolo di Azure a un'entità di sicurezza a questo livello.
  • Hub eventi: l'assegnazione di ruolo si applica agli hub eventi e ai relativi gruppi di consumer.
  • Spazio dei nomi: l'assegnazione di ruolo si estende sull'intera topologia di Hub eventi nello spazio dei nomi e sul gruppo di consumer associato.
  • Gruppo di risorse: l'assegnazione di ruolo si applica a tutte le risorse di Hub eventi nel gruppo di risorse.
  • Sottoscrizione: l'assegnazione di ruolo si applica a tutte le risorse di Hub eventi in tutti i gruppi di risorse nella sottoscrizione.

Nota

  • Tenere presente che la propagazione delle assegnazioni di ruolo di Azure potrebbe richiedere fino a cinque minuti.
  • Questo contenuto si applica sia a Hub eventi che a Hub eventi per Apache Kafka. Per altre informazioni sul supporto di Hub eventi per Kafka, vedere Hub eventi per Kafka - Sicurezza e autenticazione.

Per altre informazioni sulla definizione dei ruoli predefiniti, vedere Informazioni sulle definizioni dei ruoli. Per informazioni sulla creazione di ruoli personalizzati di Azure, vedere Ruoli personalizzati di Azure.

Esempi

Passaggi successivi

Vedere gli articoli correlati seguenti: