Autorizace přístupu ke službě Azure Event Hubs

Pokaždé, když publikujete nebo spotřebováváte události z centra událostí, se váš klient snaží získat přístup k prostředkům služby Event Hubs. Každá žádost o zabezpečený prostředek musí být autorizovaná, aby služba zajistila, že klient má požadovaná oprávnění k publikování nebo využívání dat.

Služba Azure Event Hubs nabízí následující možnosti autorizace přístupu k zabezpečeným prostředkům:

• Microsoft Entra ID
• Sdílený přístupový podpis

Poznámka:

Tento článek se týká scénářů služby Event Hubs i Apache Kafka .

Microsoft Entra ID

Integrace Microsoft Entra s prostředky služby Event Hubs poskytuje řízení přístupu na základě role v Azure (RBAC) pro jemně odstupňované řízení přístupu klienta k prostředkům. Azure RBAC můžete použít k udělení oprávnění k objektu zabezpečení, což může být uživatel, skupina nebo instanční objekt aplikace. Microsoft Entra ověří objekt zabezpečení a vrátí token OAuth 2.0. Token lze použít k autorizaci žádosti o přístup k prostředku služby Event Hubs.

Další informace o ověřování pomocí Microsoft Entra ID najdete v následujících článcích:

• Ověřování požadavků ve službě Azure Event Hubs pomocí ID Microsoft Entra
• Autorizace přístupu k prostředkům služby Event Hubs pomocí ID Microsoft Entra

Sdílené přístupové podpisy

Sdílené přístupové podpisy (SAS) pro prostředky služby Event Hubs poskytují omezený delegovaný přístup k prostředkům služby Event Hubs. Přidání omezení časového intervalu, pro který je podpis platný nebo u oprávnění, která uděluje, poskytuje flexibilitu při správě prostředků. Další informace najdete v tématu Ověřování pomocí sdílených přístupových podpisů (SAS).

Autorizace uživatelů nebo aplikací pomocí tokenu OAuth 2.0 vráceného id Microsoft Entra poskytuje vynikající zabezpečení a snadné použití u sdílených přístupových podpisů (SAS). S ID Microsoft Entra není nutné ukládat přístupové tokeny s kódem a riskovat potenciální ohrožení zabezpečení. I když můžete dál používat sdílené přístupové podpisy (SAS) k udělení jemně odstupňovaného přístupu k prostředkům služby Event Hubs, Microsoft Entra ID nabízí podobné funkce, aniž by bylo nutné spravovat tokeny SAS nebo se starat o odvolání ohroženého SAS.

Ve výchozím nastavení jsou všechny prostředky služby Event Hubs zabezpečené a jsou k dispozici pouze pro vlastníka účtu. I když můžete použít některou z výše uvedených strategií autorizace k udělení přístupu klientům k prostředkům služby Event Hubs. Microsoft doporučuje používat Microsoft Entra ID, pokud je to možné pro maximální zabezpečení a snadné použití.

Další informace o autorizaci pomocí SAS najdete v tématu Autorizace přístupu k prostředkům služby Event Hubs pomocí sdílených přístupových podpisů.

Další kroky

• Projděte si ukázky Azure RBAC publikované v našem úložišti GitHub.
• Projděte si následující články:
  • Ověřování požadavků ve službě Azure Event Hubs z aplikace pomocí ID Microsoft Entra
  • Ověření spravované identity pomocí ID Microsoft Entra pro přístup k prostředkům služby Event Hubs
  • Ověřování požadavků ve službě Azure Event Hubs pomocí sdílených přístupových podpisů
  • Autorizace přístupu k prostředkům služby Event Hubs pomocí Microsoft Entra ID
  • Autorizace přístupu k prostředkům služby Event Hubs pomocí sdílených přístupových podpisů