Gebeurtenislevering verifiëren bij gebeurtenis-handlers (Azure Event Grid)
Dit artikel bevat informatie over het verifiëren van de levering van gebeurtenissen aan gebeurtenis-handlers.
Overzicht
Azure Event Grid maakt gebruik van verschillende verificatiemethoden voor het leveren van gebeurtenissen aan gebeurtenis-handlers. `
| Verificatiemethode | Ondersteunde gebeurtenis-handlers | Beschrijving |
|---|---|---|
| Toegangssleutel | - Event Hubs - Service Bus - Opslagwachtrijen - Hybride Verbinding maken ionen van Relay - Azure Functions - Opslagblobs (Deadletter) |
Toegangssleutels worden opgehaald met behulp van de referenties van de Event Grid-service-principal. De machtigingen worden verleend aan Event Grid wanneer u de Event Grid-resourceprovider registreert in hun Azure-abonnement. |
| Beheerde systeemidentiteit & Op rollen gebaseerd toegangsbeheer |
- Event Hubs - Service Bus - Opslagwachtrijen - Opslagblobs (Deadletter) |
Schakel de beheerde systeemidentiteit voor het onderwerp in en voeg deze toe aan de juiste rol op de bestemming. Zie Door het systeem toegewezen identiteiten gebruiken voor het leveren van gebeurtenissen voor meer informatie. |
| Bearer-tokenverificatie met met Microsoft Entra beveiligde webhook | Webhook | Zie de sectie Verificatie van gebeurtenislevering naar webhook-eindpunten voor meer informatie. |
| Clientgeheim als queryparameter | Webhook | Zie de sectie Clientgeheim gebruiken als een queryparametersectie voor meer informatie. |
Notitie
Als u uw Azure-functie beveiligt met een Microsoft Entra-app, moet u de algemene webhookbenadering gebruiken met behulp van de HTTP-trigger. Gebruik het Azure-functie-eindpunt als een webhook-URL bij het toevoegen van het abonnement.
Door het systeem toegewezen identiteiten gebruiken voor het leveren van gebeurtenissen
U kunt een door het systeem toegewezen beheerde identiteit inschakelen voor een onderwerp of domein en de identiteit gebruiken om gebeurtenissen door te sturen naar ondersteunde bestemmingen, zoals Service Bus-wachtrijen en onderwerpen, Event Hubs en opslagaccounts.
Dit zijn de stappen:
- Maak een onderwerp of domein met een door het systeem toegewezen identiteit of werk een bestaand onderwerp of domein bij om identiteit in te schakelen. Zie Beheerde identiteit inschakelen voor een systeemonderwerp of Beheerde identiteit inschakelen voor een aangepast onderwerp of een domein voor meer informatie
- Voeg de identiteit toe aan een juiste rol (bijvoorbeeld Service Bus-gegevenszender) op het doel (bijvoorbeeld een Service Bus-wachtrij). Zie Identiteit de toegang verlenen tot de Event Grid-bestemming voor meer informatie
- Wanneer u gebeurtenisabonnementen maakt, schakelt u het gebruik van de identiteit in om gebeurtenissen aan de bestemming te leveren. Zie Een gebeurtenisabonnement maken dat gebruikmaakt van de identiteit voor meer informatie.
Zie Gebeurtenislevering met een beheerde identiteit voor gedetailleerde stapsgewijze instructies.
Gebeurtenislevering verifiëren voor webhook-eindpunten
In de volgende secties wordt beschreven hoe u de levering van gebeurtenissen aan webhook-eindpunten verifieert. Gebruik een validatiehanddrukmechanisme, ongeacht de methode die u gebruikt. Zie de levering van webhook-gebeurtenissen voor meer informatie.
Microsoft Entra-id gebruiken
U kunt het webhook-eindpunt beveiligen dat wordt gebruikt voor het ontvangen van gebeurtenissen van Event Grid met behulp van Microsoft Entra-id. U moet een Microsoft Entra-toepassing maken, een rol en een service-principal maken in uw toepassing die Event Grid autoriseert en het gebeurtenisabonnement configureren voor het gebruik van de Microsoft Entra-toepassing. Meer informatie over het configureren van Microsoft Entra-id met Event Grid.
Clientgeheim gebruiken als queryparameter
U kunt uw webhookeindpunt ook beveiligen door queryparameters toe te voegen aan de doel-URL van de webhook die is opgegeven als onderdeel van het maken van een gebeurtenisabonnement. Stel een van de queryparameters in als een clientgeheim, zoals een toegangstoken of een gedeeld geheim. Event Grid-service bevat alle queryparameters in elke gebeurtenisleveringsaanvraag naar de webhook. De webhookservice kan het geheim ophalen en valideren. Als het clientgeheim wordt bijgewerkt, moet het gebeurtenisabonnement ook worden bijgewerkt. Als u bezorgingsfouten tijdens deze geheimrotatie wilt voorkomen, moet u ervoor zorgen dat de webhook zowel oude als nieuwe geheimen gedurende een beperkte periode accepteert voordat u het gebeurtenisabonnement bijwerkt met het nieuwe geheim.
Omdat queryparameters clientgeheimen kunnen bevatten, worden ze zorgvuldig afgehandeld. Ze worden opgeslagen als versleuteld en zijn niet toegankelijk voor serviceoperators. Ze worden niet geregistreerd als onderdeel van de servicelogboeken/traceringen. Wanneer u de eigenschappen van het gebeurtenisabonnement opvraagt, worden doelqueryparameters niet standaard geretourneerd. Bijvoorbeeld: de parameter --include-full-endpoint-URL moet worden gebruikt in Azure CLI.
Zie De levering van webhook-gebeurtenissen voor meer informatie over het leveren van gebeurtenissen aan webhooks
Belangrijk
Azure Event Grid ondersteunt alleen HTTPS-webhookeindpunten .
Eindpuntvalidatie met CloudEvents v1.0
Als u al bekend bent met Event Grid, bent u mogelijk op de hoogte van de eindpuntvalidatiehanddruk voor het voorkomen van misbruik. CloudEvents v1.0 implementeert zijn eigen semantiek voor misbruikbeveiliging met behulp van de METHODE HTTP OPTIONS . Zie HTTP 1.1 Web Hooks voor gebeurtenislevering - versie 1.0 voor meer informatie hierover. Wanneer u het CloudEvents-schema voor uitvoer gebruikt, maakt Event Grid gebruik van cloudevents v1.0 misbruikbeveiliging in plaats van het Event Grid-validatiemechanisme. Zie CloudEvents v1.0-schema gebruiken met Event Grid voor meer informatie.
Volgende stappen
Zie Publicerende clients verifiëren voor meer informatie over het verifiëren van clients die gebeurtenissen publiceren naar onderwerpen of domeinen.