Beheerde identiteiten gebruiken voor toegang tot Event Hubs vanuit een Azure Stream Analytics-taak
Azure Stream Analytics ondersteunt verificatie van beheerde identiteiten voor zowel Azure Event Hubs-invoer als -uitvoer. Beheerde identiteiten elimineren de beperkingen van verificatiemethoden op basis van gebruikers, zoals de noodzaak om opnieuw te verifiëren vanwege wachtwoordwijzigingen of verlopen van gebruikerstoken die elke 90 dagen plaatsvinden. Wanneer u de noodzaak voor handmatige verificatie verwijdert, kunnen uw Stream Analytics-implementaties volledig worden geautomatiseerd.
Een beheerde identiteit is een beheerde toepassing die is geregistreerd in Microsoft Entra ID die een bepaalde Stream Analytics-taak vertegenwoordigt. De beheerde toepassing wordt gebruikt om te verifiëren bij een doelresource, inclusief Event Hubs die zich achter een firewall of virtueel netwerk (VNet) bevinden. Zie Toegang tot Azure Event Hubs-naamruimten via privé-eindpunten toestaan voor meer informatie over het omzeilen van firewalls.
In dit artikel leest u hoe u Managed Identity inschakelt voor een Event Hub-invoer of -uitvoer van een Stream Analytics-taak via Azure Portal. Voordat u Beheerde identiteit hebt ingeschakeld, moet u eerst een Stream Analytics-taak en een Event Hubs-resource hebben.
Een beheerde identiteit maken
Eerst maakt u een beheerde identiteit voor uw Azure Stream Analytics-taak.
Open uw Azure Stream Analytics-taak in Azure Portal.
Selecteer in het linkernavigatiemenu beheerde identiteit onder Configureren. Schakel vervolgens het selectievakje in naast Door het systeem toegewezen beheerde identiteit gebruiken en selecteer Opslaan.
Er wordt een service-principal voor de identiteit van de Stream Analytics-taak gemaakt in Microsoft Entra-id. De levenscyclus van de zojuist gemaakte identiteit wordt beheerd door Azure. Wanneer de Stream Analytics-taak wordt verwijderd, wordt de bijbehorende identiteit (dat wil gezegd de service-principal) automatisch verwijderd door Azure.
Wanneer u de configuratie opslaat, wordt de object-id (OID) van de service-principal vermeld als de principal-id, zoals hieronder wordt weergegeven:
De service-principal heeft dezelfde naam als de Stream Analytics-taak. Als de naam van uw taak bijvoorbeeld is, is
MyASAJobde naam van de service-principal ookMyASAJob.
De Stream Analytics-taakmachtigingen verlenen voor toegang tot Event Hubs
Voor toegang tot uw Event Hub met beheerde identiteit moet de service-principal die u hebt gemaakt, speciale machtigingen hebben voor de Event Hub om toegang te krijgen tot uw Event Hub.
Klik op Toegangsbeheer (IAM) .
Klik op Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.
Wijs de volgende rol toe. Raadpleeg Azure-rollen toewijzen met Azure Portal voor informatie over het toewijzen van rollen.
Notitie
Wanneer u toegang geeft tot een resource, moet u de minst benodigde toegang geven. Afhankelijk van of u Event Hubs configureert als invoer of uitvoer, hoeft u mogelijk niet de rol Azure Event Hubs-gegevenseigenaar toe te wijzen die meer dan nodig toegang tot uw EventHub-resource zou verlenen. Zie Een toepassing verifiëren met Microsoft Entra ID voor toegang tot Event Hubs-resources voor meer informatie
| Instelling | Waarde |
|---|---|
| - Rol | Azure Event Hubs-gegevenseigenaar |
| Toegang toewijzen aan | Gebruiker, groep of service-principal |
| Leden | <Naam van uw Stream Analytics-taak> |
U kunt deze rol ook verlenen op het niveau van de Event Hubs-naamruimte, waardoor de machtigingen natuurlijk worden doorgegeven aan alle Event Hubs die eronder zijn gemaakt. Dat wil gezegd dat alle Event Hubs onder een naamruimte kunnen worden gebruikt als een beheerde identiteit-authenticerende resource in uw Stream Analytics-taak.
Notitie
Vanwege globale replicatie of cachinglatentie kan er een vertraging optreden wanneer machtigingen worden ingetrokken of verleend. Wijzigingen moeten binnen 8 minuten worden doorgevoerd.
Een Event Hubs-invoer of -uitvoer maken
Nu uw beheerde identiteit is geconfigureerd, kunt u de Event Hub-resource toevoegen als invoer of uitvoer aan uw Stream Analytics-taak.
Event Hubs toevoegen als invoer
Ga naar uw Stream Analytics-taak en navigeer naar de pagina Invoer onder Taaktopologie.
Selecteer Stream Input > Event Hub toevoegen. Zoek en selecteer uw Event Hub in het venster met invoereigenschappen en selecteer Beheerde identiteit in de vervolgkeuzelijst Verificatiemodus.
Vul de rest van de eigenschappen in en selecteer Opslaan.
Event Hubs toevoegen als uitvoer
Ga naar uw Stream Analytics-taak en navigeer naar de pagina Uitvoer onder Taaktopologie.
Selecteer Event Hub toevoegen>. Zoek en selecteer uw Event Hub in het venster met uitvoereigenschappen en selecteer Beheerde identiteit in de vervolgkeuzelijst Verificatiemodus.
Vul de rest van de eigenschappen in en selecteer Opslaan.