Toegang verlenen tot Event Hubs-resources met behulp van Microsoft Entra ID

  • Artikel

Azure Event Hubs ondersteunt het gebruik van Microsoft Entra-id om aanvragen voor Event Hubs-resources te autoriseren. Met Microsoft Entra ID kunt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen te verlenen aan een beveiligingsprincipaal, die een gebruiker of een service-principal voor toepassingen kan zijn. Zie Inzicht in de verschillende rollen voor meer informatie over rollen en roltoewijzingen.

Overzicht

Wanneer een beveiligingsprincipaal (een gebruiker of een toepassing) toegang probeert te krijgen tot een Event Hubs-resource, moet de aanvraag worden geautoriseerd. Met Microsoft Entra ID is de toegang tot een resource een proces in twee stappen.

  1. Eerst wordt de identiteit van de beveiligingsprincipaal geverifieerd en wordt een OAuth 2.0-token geretourneerd. De resourcenaam voor het aanvragen van een token is https://eventhubs.azure.net/en is hetzelfde voor alle clouds/tenants. Voor Kafka-clients is https://<namespace>.servicebus.windows.netde resource om een token aan te vragen.
  2. Vervolgens wordt het token doorgegeven als onderdeel van een aanvraag aan de Event Hubs-service om toegang tot de opgegeven resource te autoriseren.

Voor de verificatiestap is vereist dat een toepassingsaanvraag tijdens runtime een OAuth 2.0-toegangstoken bevat. Als een toepassing wordt uitgevoerd binnen een Azure-entiteit zoals een Azure-VM, een virtuele-machineschaalset of een Azure Function-app, kan deze een beheerde identiteit gebruiken om toegang te krijgen tot de resources. Zie Toegang tot Azure Event Hubs-resources verifiëren met Microsoft Entra ID en beheerde identiteiten voor Azure-resources voor meer informatie over het verifiëren van aanvragen die zijn gedaan door een beheerde identiteit voor de Event Hubs-service.

Voor de autorisatiestap moeten een of meer Azure-rollen worden toegewezen aan de beveiligingsprincipaal. Azure Event Hubs biedt Azure-rollen die sets machtigingen voor Event Hubs-resources omvatten. De rollen die zijn toegewezen aan een beveiligingsprincipaal bepalen de machtigingen die de principal heeft. Zie ingebouwde Azure-rollen voor Azure Event Hubs voor meer informatie over Azure-rollen.

Systeemeigen toepassingen en webtoepassingen die aanvragen indienen bij Event Hubs, kunnen ook autoriseren met Microsoft Entra-id. Zie Toegang tot Azure Event Hubs verifiëren met Microsoft Entra-id van een toepassing voor meer informatie over het aanvragen van aanvragen voor Event Hubs-resources en deze gebruiken om aanvragen voor Event Hubs-resources te autoriseren.

Azure-rollen toewijzen voor toegangsrechten

Microsoft Entra autoriseert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Event Hubs definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot Event Hub-gegevens en u kunt ook aangepaste rollen definiëren voor toegang tot de gegevens.

Wanneer een Azure-rol is toegewezen aan een Microsoft Entra-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Toegang kan worden beperkt tot het niveau van het abonnement, de resourcegroep, de Event Hubs-naamruimte of een resource eronder. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker of een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Ingebouwde Azure-rollen voor Azure Event Hubs

Azure biedt de volgende ingebouwde Azure-rollen voor het autoriseren van toegang tot Event Hubs-gegevens met behulp van Microsoft Entra ID en OAuth:

Rol Beschrijving
Azure Event Hubs-gegevenseigenaar Gebruik deze rol om volledige toegang te verlenen tot Event Hubs-resources.
Azure Event Hubs-gegevenszender Gebruik deze rol om het verzenden van toegang tot Event Hubs-resources te geven.
Azure Event Hubs-gegevensontvanger Gebruik deze rol om het verbruiken/ontvangen van toegang tot Event Hubs-resources te geven.

Zie Schema Registry-rollen voor ingebouwde rollen voor schemaregisters.

Resourcebereik

Voordat u een Azure-rol toewijst een beveiligingsprincipal, moet u het toegangsbereik bepalen dat de beveiligingsprincipal moet hebben. Uit best practices blijkt dat het het beste is om het nauwst mogelijke bereik toe te wijzen.

In de volgende lijst worden de niveaus beschreven waarop u toegang tot Event Hubs-resources kunt instellen, te beginnen met het smalste bereik:

  • Consumentengroep: In dit bereik is roltoewijzing alleen van toepassing op deze entiteit. Momenteel biedt Azure Portal geen ondersteuning voor het toewijzen van een Azure-rol aan een beveiligingsprincipaal op dit niveau.
  • Event Hub: Roltoewijzing is van toepassing op Event Hubs en hun consumentengroepen.
  • Naamruimte: Roltoewijzing omvat de hele topologie van Event Hubs onder de naamruimte en de daaraan gekoppelde consumentengroep.
  • Resourcegroep: Roltoewijzing is van toepassing op alle Event Hubs-resources onder de resourcegroep.
  • Abonnement: Roltoewijzing is van toepassing op alle Event Hubs-resources in alle resourcegroepen in het abonnement.

Notitie

  • Houd er rekening mee dat het maximaal vijf minuten kan duren voordat Azure-roltoewijzingen zijn doorgegeven.
  • Deze inhoud is van toepassing op zowel Event Hubs als Event Hubs voor Apache Kafka. Zie Event Hubs voor Kafka - beveiliging en verificatie voor meer informatie over Event Hubs voor Kafka-ondersteuning.

Zie Roldefinities begrijpen voor meer informatie over hoe ingebouwde rollen worden gedefinieerd. Zie Aangepaste Azure-rollen voor informatie over het maken van aangepaste Azure-rollen.

Voorbeelden

Volgende stappen

Zie de volgende gerelateerde artikelen: