Autenticar a entrega do evento aos manipuladores de eventos (Azure Event Grid)

Este artigo fornece informações sobre a autenticação da entrega de eventos aos manipuladores de eventos.

Descrição Geral

A Azure Event Grid utiliza diferentes métodos de autenticação para entregar eventos aos manipuladores de eventos. `

Método de autenticação Manipuladores apoiados Description
Chave de acesso

Hubs de Eventos

Service Bus

Filas de Armazenamento

Conexões híbridas de retransmissão

Funções do Azure

Armazenamento Blobs (Deadletter)                           

As chaves de acesso são recolhidas usando as credenciais do chefe do serviço de rede de eventos. As permissões são concedidas à Grade de Eventos quando regista o fornecedor de recursos da Grade de Eventos na sua subscrição Azure.
Identidade do sistema gerido
&
Controlo de acesso baseado em funções

Hubs de Eventos

Service Bus

Filas de Armazenamento

Armazenamento Blobs (Deadletter)

Ativar a identidade gerida do sistema para o tópico e adicioná-la ao papel adequado no destino. Para mais informações, consulte utilize as identidades atribuídas ao sistema para a entrega do evento.
Autenticação simbólica do portador com webhook protegido Azure AD Webhook Consulte a entrega do evento Authenticate na secção de pontos finais webhook para obter mais detalhes..
Segredo do cliente como parâmetro de consulta Webhook Consulte o segredo do cliente de utilização como uma secção de parâmetros de consulta para obter detalhes.

Utilizar identidades atribuídas ao sistema para a entrega de eventos

Pode ativar uma identidade gerida atribuída pelo sistema para um tópico ou domínio e usar a identidade para encaminhar eventos para destinos apoiados, tais como Service Bus filas e tópicos, centros de eventos e contas de armazenamento.

Eis os passos:

  1. Crie um tópico ou domínio com uma identidade atribuída ao sistema, ou atualize um tópico ou domínio existente para permitir a identidade. Para obter mais informações, consulte Ativar a identidade gerida para um tópico do sistema ou Ativar a identidade gerida para um tópico personalizado ou um domínio
  2. Adicione a identidade a um papel apropriado (por exemplo, Service Bus Remetente de Dados) sobre o destino (por exemplo, uma fila Service Bus). Para mais informações, consulte a Grande Identidade o acesso ao destino Event Grid
  3. Ao criar subscrições de eventos, permita o uso da identidade para entregar eventos ao destino. Para obter mais informações, consulte Criar uma subscrição de eventos que utilize a identidade.

Para obter instruções detalhadas passo a passo, consulte a entrega do Evento com uma identidade gerida.

Autenticar entrega de eventos para pontos finais webhook

As secções seguintes descrevem como autenticar a entrega do evento nos pontos finais webhook. Utilize um mecanismo de aperto de mão de validação independentemente do método utilizado. Consulte a entrega do evento Webhook para obter mais detalhes.

Utilização de Azure Ative Directory (Azure AD)

Você pode proteger o ponto final webhook que é usado para receber eventos da Grade de Eventos usando Azure AD. Você precisará criar uma aplicação AD Azure, criar uma função e principal de serviço na sua aplicação autorizando a Grade de Eventos, e configurar a subscrição do evento para usar a aplicação AZure AD. Saiba como configurar Azure Ative Directory com a Grade de Eventos.

Usando o segredo do cliente como parâmetro de consulta

Também pode proteger o seu ponto final webhook adicionando parâmetros de consulta ao URL de destino webhook especificado como parte da criação de uma Subscrição de Eventos. Desacorde um dos parâmetros de consulta para ser um segredo de cliente, como um token de acesso ou um segredo partilhado. O serviço 'Grade de Eventos' inclui todos os parâmetros de consulta em cada pedido de entrega de eventos ao webhook. O serviço webhook pode recuperar e validar o segredo. Se o segredo do cliente for atualizado, a subscrição do evento também precisa de ser atualizada. Para evitar falhas de entrega durante esta rotação secreta, faça com que o webhook aceite segredos antigos e novos por uma duração limitada antes de atualizar a subscrição do evento com o novo segredo.

Como os parâmetros de consulta podem conter segredos de clientes, eles são tratados com cuidado extra. São armazenados como encriptados e não são acessíveis aos operadores de serviço. Não são registados como parte dos registos/vestígios de serviço. Ao recuperar as propriedades de Subscrição de Eventos, os parâmetros de consulta de destino não são devolvidos por padrão. Por exemplo: --incluir o parâmetro url-end-end deve ser utilizado em Azure CLI.

Para obter mais informações sobre a entrega de eventos a webhooks, consulte a entrega do evento Webhook

Importante

A Azure Event Grid suporta apenas pontos finais https webhook.

Validação de ponto final com CloudEvents v1.0

Se já está familiarizado com a Grade de Eventos, poderá estar ciente do aperto de mão de validação de ponto final para prevenir abusos. O CloudEvents v1.0 implementa a sua própria semântica de proteção contra abusos utilizando o método HTTP OPTIONS. Para ler mais sobre o mesmo, consulte HTTP 1.1 Web Hooks para entrega de eventos - Versão 1.0. Quando utiliza o esquema cloudEvents para saída, a Grade de Eventos utiliza a proteção contra abusos CloudEvents v1.0 em vez do mecanismo de validação da Grelha de Eventos. Para obter mais informações, consulte o esquema de utilização de CloudEvents v1.0 com grelha de eventos.

Passos seguintes

Consulte clientes editoriais Authenticate para saber sobre autenticar clientes que publicam eventos em tópicos ou domínios.