Autorizar o acesso aos recursos do Event Hubs utilizando Azure Ative Directory

O Azure Event Hubs suporta o uso de Azure Ative Directory (Azure AD) para autorizar pedidos aos recursos do Event Hubs. Com o Azure AD, pode utilizar o controlo de acesso baseado em funções (Azure RBAC) para conceder permissões a um principal de segurança, que pode ser um utilizador ou um diretor de serviço de aplicação. Para saber mais sobre papéis e atribuições de papéis, consulte compreender os diferentes papéis.

Descrição Geral

Quando um principal de segurança (um utilizador ou uma aplicação) tenta aceder a um recurso do Event Hubs, o pedido deve ser autorizado. Com o Azure AD, o acesso a um recurso é um processo em duas etapas.

  1. Primeiro, a identidade do diretor de segurança é autenticada, e um token OAuth 2.0 é devolvido. O nome de recurso para solicitar um token é https://eventhubs.azure.net/ , e é o mesmo para todas as nuvens/inquilinos. Para os clientes Kafka, o recurso para solicitar um token é https://<namespace>.servicebus.windows.net .
  2. Em seguida, o token é passado como parte de um pedido ao serviço Event Hubs para autorizar o acesso ao recurso especificado.

O passo de autenticação requer que um pedido de candidatura contenha um token de acesso OAuth 2.0 no tempo de execução. Se uma aplicação estiver a ser executada dentro de uma entidade Azure, como um Azure VM, um conjunto de escala de máquina virtual ou uma aplicação Azure Function, pode usar uma identidade gerida para aceder aos recursos. Para obter como autenticar pedidos feitos por identidade gerida ao serviço Event Hubs, consulte autenticar o acesso aos recursos do Azure Event Hubs com Azure Ative Directory e identidades geridas para recursos Azure.

O passo de autorização requer que uma ou mais funções da Azure sejam atribuídas ao diretor de segurança. O Azure Event Hubs fornece funções Azure que englobam conjuntos de permissões para recursos de Event Hubs. As funções atribuídas a um diretor de segurança determinam as permissões que o diretor terá. Para obter mais informações sobre os papéis do Azure, consulte os papéis incorporados do Azure para o Azure Event Hubs.

Aplicações nativas e aplicações web que fazem pedidos para Os Centros de Eventos também podem autorizar com Azure AD. Para obter como solicitar um token de acesso e usá-lo para autorizar pedidos de recursos do Event Hubs, consulte autenticar o acesso aos Azure Event Hubs com Azure AD a partir de uma aplicação.

Atribuir funções da Azure para direitos de acesso

Azure Ative Directory (Azure AD) autoriza direitos de acesso a recursos seguros através do controlo de acesso baseado em funções da Azure (Azure RBAC). O Azure Event Hubs define um conjunto de funções incorporadas do Azure que englobam conjuntos comuns de permissões usadas para aceder a dados do centro de eventos e também pode definir funções personalizadas para aceder aos dados.

Quando um papel de Azure é atribuído a um diretor de segurança Azure, a Azure concede acesso a esses recursos para esse diretor de segurança. O acesso pode ser analisado ao nível de subscrição, ao grupo de recursos, ao espaço de nomes do Event Hubs ou a qualquer recurso sob o mesmo. Um diretor de segurança Azure AD pode ser um utilizador, ou um diretor de serviço de aplicação, ou uma identidade gerida para os recursos Azure.

Azure papéis incorporados para Azure Event Hubs

A Azure fornece as seguintes funções incorporadas do Azure para autorizar o acesso aos dados do Event Hubs utilizando Azure AD e OAuth:

Função Description
Proprietário de dados Azure Event Hubs Use esta função para dar acesso completo aos recursos do Event Hubs.
Remetente de dados do Azure Event Hubs Use esta função para dar acesso ao envio aos recursos do Event Hubs.
Recetor de dados Azure Event Hubs Utilize esta função para dar acesso ao consumo/receção aos recursos do Event Hubs.

Para funções incorporadas no Registo de Schema, consulte as funções de Registo de Schema.

Âmbito do recurso

Antes de atribuir um papel de Azure a um diretor de segurança, determine o âmbito de acesso que o diretor de segurança deve ter. As melhores práticas ditam que é sempre melhor conceder apenas o âmbito mais estreito possível.

A lista a seguir descreve os níveis em que pode aceder aos recursos do Event Hubs, a começar pelo âmbito mais restrito:

  • Grupo de consumidores: Neste âmbito, a atribuição de funções aplica-se apenas a esta entidade. Atualmente, o portal Azure não suporta a atribuição de um papel de Azure a um diretor de segurança a este nível.
  • Centro de eventos: A atribuição de funções aplica-se à entidade Event Hub e ao grupo de consumidores ao seu abrigo.
  • Namespace: A atribuição de funções abrange toda a topologia dos Centros de Eventos sob o espaço de nome e para o grupo de consumidores que lhe está associado.
  • Grupo de recursos: A atribuição de funções aplica-se a todos os recursos do Event Hubs no âmbito do grupo de recursos.
  • Subscrição: A atribuição de funções aplica-se a todos os recursos do Event Hubs em todos os grupos de recursos da subscrição.

Nota

  • Tenha em mente que as atribuições de funções do Azure podem demorar até cinco minutos a propagar-se.
  • Este conteúdo aplica-se tanto a Centros de Eventos como a Centros de Eventos para Apache Kafka. Para obter mais informações sobre os Centros de Eventos para suporte a Kafka, consulte os Centros de Eventos para Kafka - segurança e autenticação.

Para obter mais informações sobre como as funções incorporadas são definidas, consulte as definições de funções. Para obter informações sobre a criação de funções personalizadas Azure, consulte os papéis personalizados da Azure.

Amostras

Passos seguintes

Consulte os seguintes artigos relacionados: