Autentisera händelseleverans till händelsehanterare (Azure Event Grid)
Den här artikeln innehåller information om hur du autentiserar händelseleverans till händelsehanterare.
Översikt
Azure Event Grid använder olika autentiseringsmetoder för att leverera händelser till händelsehanterare. `
| Autentiseringsmetod | Händelsehanterare som stöds | beskrivning |
|---|---|---|
| Åtkomstnyckel | – Event Hubs – Service Bus – Lagringsköer - Relay Hybrid Anslut ions – Azure Functions – Lagringsblobar (Deadletter) |
Åtkomstnycklar hämtas med autentiseringsuppgifterna för Event Grid-tjänstens huvudnamn. Behörigheterna beviljas till Event Grid när du registrerar Event Grid-resursprovidern i deras Azure-prenumeration. |
| Hanterad systemidentitet & Rollbaserad åtkomstkontroll |
– Event Hubs – Service Bus – Lagringsköer – Lagringsblobar (Deadletter) |
Aktivera hanterad systemidentitet för ämnet och lägg till den i lämplig roll på målet. Mer information finns i Använda systemtilldelade identiteter för händelseleverans. |
| Autentisering med ägartoken med Microsoft Entra-skyddad webhook | Webhook | Mer information finns i avsnittet Autentisera händelseleverans till webhook-slutpunkter . |
| Klienthemlighet som en frågeparameter | Webhook | Mer information finns i avsnittet Använda klienthemlighet som frågeparameter . |
Kommentar
Om du skyddar din Azure-funktion med en Microsoft Entra-app måste du använda den allmänna webhooken med http-utlösaren. Använd Azure-funktionsslutpunkten som en webhook-URL när du lägger till prenumerationen.
Använda systemtilldelade identiteter för händelseleverans
Du kan aktivera en systemtilldelad hanterad identitet för ett ämne eller en domän och använda identiteten för att vidarebefordra händelser till mål som stöds, till exempel Service Bus-köer och -ämnen, händelsehubbar och lagringskonton.
Här är stegen:
- Skapa ett ämne eller en domän med en systemtilldelad identitet eller uppdatera ett befintligt ämne eller en befintlig domän för att aktivera identitet. Mer information finns i Aktivera hanterad identitet för ett systemavsnitt eller Aktivera hanterad identitet för ett anpassat ämne eller en domän
- Lägg till identiteten till en lämplig roll (till exempel Service Bus Data Sender) på målet (till exempel en Service Bus-kö). Mer information finns i Bevilja identitet åtkomst till Event Grid-målet
- När du skapar händelseprenumerationer aktiverar du användningen av identiteten för att leverera händelser till målet. Mer information finns i Skapa en händelseprenumeration som använder identiteten.
Detaljerade stegvisa instruktioner finns i Händelseleverans med en hanterad identitet.
Autentisera händelseleverans till webhook-slutpunkter
I följande avsnitt beskrivs hur du autentiserar händelseleverans till webhook-slutpunkter. Använd en valideringsmekanism för handskakning oavsett vilken metod du använder. Mer information finns i Webhook-händelseleverans .
Använda Microsoft Entra-ID
Du kan skydda webhookens slutpunkt som används för att ta emot händelser från Event Grid med hjälp av Microsoft Entra-ID. Du måste skapa ett Microsoft Entra-program, skapa en roll och ett huvudnamn för tjänsten i ditt program som auktoriserar Event Grid och konfigurera händelseprenumerationen så att den använder Microsoft Entra-programmet. Lär dig hur du konfigurerar Microsoft Entra-ID med Event Grid.
Använda klienthemlighet som frågeparameter
Du kan också skydda din webhook-slutpunkt genom att lägga till frågeparametrar i webhookens mål-URL som anges som en del av skapandet av en händelseprenumeration. Ange en av frågeparametrarna som en klienthemlighet, till exempel en åtkomsttoken eller en delad hemlighet. Event Grid-tjänsten innehåller alla frågeparametrar i varje händelseleveransbegäran till webhooken. Webhook-tjänsten kan hämta och verifiera hemligheten. Om klienthemligheten uppdateras måste även händelseprenumerationen uppdateras. Undvik leveransfel under den här hemliga rotationen genom att göra så att webhooken accepterar både gamla och nya hemligheter under en begränsad tid innan du uppdaterar händelseprenumerationen med den nya hemligheten.
Eftersom frågeparametrar kan innehålla klienthemligheter hanteras de med extra försiktighet. De lagras som krypterade och är inte tillgängliga för tjänstoperatorer. De loggas inte som en del av tjänstloggarna/-spårningarna. När du hämtar egenskaperna för händelseprenumeration returneras inte målfrågeparametrarna som standard. Till exempel: Parametern --include-full-endpoint-url ska användas i Azure CLI.
Mer information om hur du levererar händelser till webhooks finns i Webhook-händelseleverans
Viktigt!
Azure Event Grid stöder endast HTTPS webhook-slutpunkter.
Slutpunktsverifiering med CloudEvents v1.0
Om du redan är bekant med Event Grid kanske du känner till handskakningen för slutpunktsvalidering för att förhindra missbruk. CloudEvents v1.0 implementerar sin egen semantik för missbruksskydd med hjälp av metoden HTTP OPTIONS. Mer information finns i HTTP 1.1 Web Hooks för händelseleverans – version 1.0. När du använder CloudEvents-schemat för utdata använder Event Grid CloudEvents v1.0-missbruksskydd i stället för event grid-valideringshändelsemekanismen. Mer information finns i Använda CloudEvents v1.0-schema med Event Grid.