Autentisera händelseleverans till händelsehanterare (Azure Event Grid)
Den här artikeln innehåller information om autentisering av händelseleverans till händelsehanterare.
Översikt
Azure Event Grid använder olika autentiseringsmetoder för att leverera händelser till händelsehanterare. `
| Autentiseringsmetod | Hanterare som stöds | Beskrivning |
|---|---|---|
| Åtkomstnyckel | Event Hubs Service Bus Lagringsköer Relay-hybridanslutningar Azure Functions Storage Blobar (Deadletter) |
Åtkomstnycklar hämtas med hjälp Event Grid autentiseringsuppgifter för tjänstens huvudnamn. Behörigheterna beviljas till Event Grid du registrerar resursprovidern Event Grid azure-prenumerationen. |
| Hanterad systemidentitet & Rollbaserad åtkomstkontroll |
Event Hubs Service Bus Lagringsköer Storage Blobar (Deadletter) |
Aktivera hanterad systemidentitet för ämnet och lägg till den i lämplig roll på målet. Mer information finns i Använda system tilldelade identiteter för händelseleverans. |
| Autentisering med bearer-token med Azure AD-skyddad webhook | Webhook | Mer information finns i avsnittet Authenticate event delivery to webhook endpoints (Autentisera händelseleverans till webhook-slutpunkter). |
| Klienthemlighet som en frågeparameter | Webhook | Mer information finns i avsnittet Använda klienthemlighet som frågeparameter. |
Använda system tilldelade identiteter för händelseleverans
Du kan aktivera en system tilldelad hanterad identitet för ett ämne eller en domän och använda identiteten för att vidarebefordra händelser till mål som stöds, till exempel Service Bus-köer och ämnen, händelsehubbbar och lagringskonton.
Här är stegen:
- Skapa ett ämne eller en domän med en system tilldelad identitet eller uppdatera ett befintligt ämne eller en domän för att aktivera identitet. Mer information finns i Aktivera hanterad identitet för ett systemämne eller Aktivera hanterad identitet för ett anpassat ämne eller en domän
- Lägg till identiteten i en lämplig roll (till exempel Service Bus Data Sender) på målet (till exempel en Service Bus kö). Mer information finns i Grand identity the access to Event Grid destination
- När du skapar händelseprenumerationer aktiverar du användningen av identiteten för att leverera händelser till målet. Mer information finns i Skapa en händelseprenumeration som använder identiteten.
Detaljerade stegvisa instruktioner finns i Händelseleverans med en hanterad identitet.
Autentisera händelseleverans till webhook-slutpunkter
I följande avsnitt beskrivs hur du autentiserar händelseleverans till webhook-slutpunkter. Använd en valideringshandskakningsmekanism oavsett vilken metod du använder. Mer information finns i Leverans av webhook-händelser.
Använda Azure Active Directory (Azure AD)
Du kan skydda webhook-slutpunkten som används för att ta emot händelser från Event Grid med hjälp av Azure AD. Du måste skapa ett Azure AD-program, skapa en roll och tjänstens huvudnamn i ditt program som auktoriserar Event Grid och konfigurera händelseprenumerationen så att den använder Azure AD-programmet. Lär dig hur du konfigurerar Azure Active Directory med Event Grid.
Använda klienthemlighet som frågeparameter
Du kan också skydda din webhook-slutpunkt genom att lägga till frågeparametrar till webhook-mål-URL:en som anges när du skapar en händelseprenumeration. Ange en av frågeparametrarna som en klienthemlighet, till exempel en åtkomsttoken eller en delad hemlighet. Event Grid-tjänsten innehåller alla frågeparametrar i varje begäran om händelseleverans till webhooken. Webhook-tjänsten kan hämta och validera hemligheten. Om klienthemligheten uppdateras måste även händelseprenumerationen uppdateras. För att undvika leveransfel under den här hemliga rotationen måste webhooken acceptera både gamla och nya hemligheter under en begränsad tid innan händelseprenumerationen uppdateras med den nya hemligheten.
Eftersom frågeparametrar kan innehålla klienthemligheter hanteras de med extra försiktighet. De lagras som krypterade och är inte tillgängliga för tjänstoperatörer. De loggas inte som en del av tjänstloggarna/spårningarna. När du hämtar egenskaperna för händelseprenumerationen returneras inte målfrågeparametrarna som standard. Exempel: parametern --include-full-endpoint-url ska användas i Azure CLI.
Mer information om hur du levererar händelser till webhooks finns i Webhook event delivery (Webhook-händelseleverans)
Viktigt
Azure Event Grid stöder endast HTTPS-webhookslutpunkter.
Slutpunktsverifiering med CloudEvents v1.0
Om du redan är bekant med Event Grid kanske du känner till handskakningen för slutpunktsverifiering för att förhindra missbruk. CloudEvents v1.0 implementerar sin egen semantik för missbruksskydd med hjälp av HTTP OPTIONS-metoden. Mer information finns i HTTP 1.1 Web Hooks för händelseleverans – version 1.0. När du använder CloudEvents-schemat för utdata använder Event Grid CloudEvents v1.0-skydd mot missbruk i stället för Event Grid för valideringshändelsen. Mer information finns i Använda CloudEvents v1.0-schema med Event Grid.
Nästa steg
Se Autentisera publiceringsklienter om du vill veta mer om autentisering av klienter som publicerar händelser till ämnen eller domäner.