Freigeben über

Mandantenübergreifende Ereignisübermittlung mithilfe einer verwalteten Identität

  • Artikel

Dieser Artikel enthält Informationen über die Übermittlung von Ereignissen, bei denen sich grundlegende Azure Event Grid-Ressourcen wie Themen, Domänen, Systemthemen und Partnerthemen in einem Mandanten und die Azure-Zielressource in einem anderen Mandanten befinden.

In den folgenden Abschnitten wird gezeigt, wie Sie ein Beispielszenario implementieren, in dem ein Azure Event Grid-Thema mit einer vom Benutzer zugewiesenen Identität als Verbundanmeldeinformationen Ereignisse an ein Azure Storage-Warteschlangenziel liefert, das in einem anderen Mandanten gehostet wird. Die allgemeinen Schritte sind folgende:

  1. Erstellen Sie ein Azure Event Grid-Thema mit einer benutzerseitig zugewiesenen verwalteten Identität in Mandant A.
  2. Erstellen Sie eine mehrinstanzenfähige App mit Verbund-Clientanmeldeinformationen.
  3. Erstellen Sie ein Azure Storage-Warteschlangenziel in Mandant B.
  4. Aktivieren Sie beim Erstellen eines Ereignisabonnements für das Thema die mandantenübergreifende Übermittlung, und konfigurieren Sie einen Endpunkt.

Hinweis

  • Diese Funktion befindet sich derzeit in der Vorschau.
  • Die mandantenübergreifende Übermittlung steht derzeit für die folgenden Endpunkte zur Verfügung: Service Bus-Themen und -Warteschlangen, Event Hubs und Speicherwarteschlangen.

Erstellen eines Themas mit einer benutzerseitig zugewiesenen Identität (Mandant A)

Erstellen Sie anhand der Anweisungen im Artikel Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten eine benutzerseitig zugewiesene Identität. Aktivieren Sie dann eine benutzerseitig zugewiesene verwaltete Identität beim Erstellen eines Themas, oder aktualisieren Sie ein vorhandenes Thema mithilfe der Schritte in der folgenden Vorgehensweise.

Aktivieren der benutzerseitig zugewiesenen Identität für ein neues Thema

  1. Wählen Sie im Assistenten zum Erstellen von Themen oder Domänen auf der Seite Erweitert die Option Systemseitig zugewiesene Identität aktivieren aus.

  2. Wählen Sie im Fenster Benutzerseitig zugewiesene Identität auswählen das Abonnement aus, das über die benutzerseitig zugewiesene Identität verfügt, wählen Sie die benutzerseitig zugewiesene Identität und dann Auswählen aus.

    Screenshot: ausgewählte Option zum Aktivieren der benutzerseitig zugewiesenen Identität

Aktivieren der benutzerseitig zugewiesenen Identität für ein vorhandenes Thema

  1. Wechseln Sie auf der Seite Identität im rechten Bereich zur Registerkarte Benutzerseitig zugewiesen, und wählen Sie dann auf der Symbolleiste + Hinzufügen aus.

    Screenshot: Registerkarte „Benutzerseitig zugewiesene Identität“

  2. Führen Sie im Fenster Benutzerseitig zugewiesene verwaltete Identität hinzufügen die folgenden Schritte aus:

    1. Wählen Sie das Azure-Abonnement mit der benutzerseitig zugewiesenen Identität aus.
    2. Wählen Sie die benutzerseitig zugewiesene Identität aus.
    3. Wählen Sie Hinzufügen.

  3. Aktualisieren Sie die Liste auf der Registerkarte Benutzerseitig zugewiesen, um die hinzugefügte benutzerseitig zugewiesene Identität anzuzeigen.

Weitere Informationen finden Sie in den folgenden Artikeln:

Erstellen einer mehrinstanzenfähigen Anwendung

  1. Erstellen Sie eine Microsoft Entra-App, und aktualisieren Sie die Registrierung so, dass sie mehrinstanzenfähig ist. Ausführliche Informationen finden Sie unter Aktivieren der Mehrinstanzenregistrierung.

    Screenshot: Einstellung der Microsoft Entra-App-Authentifizierung, die auf Mehrinstanzenfähigkeit festgelegt ist

  2. Erstellen Sie die Beziehung der Anmeldeinformationen für Verbundidentität zwischen der mehrinstanzenfähigen App und der benutzerseitig zugewiesenen Identität des Event Grid-Themas mithilfe der Graph-API.

    Screenshot: POST-Beispielmethode zum Aktivieren der Beziehung der Anmeldeinformationen für Verbundidentität zwischen mehrinstanzenfähiger App und benutzerseitig zugewiesener Identität

    • Verwenden Sie in der URL Objekt-ID der mehrinstanzenfähigen App.
    • Geben Sie für Name einen eindeutigen Namen für die Verbund-Clientanmeldeinformationen an.
    • Verwenden Sie https://login.microsoftonline.com/TENANTID/v2.0 für Aussteller, wobei TENANTID die ID des Mandanten ist, in dem sich die benutzerseitig zugewiesene Identität befindet.
    • Geben Sie für Antragstellerdie Client-ID der benutzerseitig zugewiesenen Identität an.

    Bestätigen und warten Sie, bis der API-Aufruf erfolgreich war.

  3. Nachdem der API-Aufruf erfolgreich war, stellen Sie sicher, dass die Anmeldeinformationen des Verbundclients in der mehrinstanzenfähigen App ordnungsgemäß eingerichtet sind.

    Screenshot: Seite „Zertifikate und Geheimnisse“ der mehrinstanzenfähigen App

    Hinweis

    Der Antragstellerbezeichner ist die Client-ID der benutzerseitig zugewiesenen Identität im Thema.

Erstellen des Zielspeicherkontos (Mandant B)

Erstellen Sie ein Speicherkonto in einem anderen Mandanten als jenem, der das Event Grid-Thema und die benutzerseitig zugewiesene Identität enthält. Sie erstellen später ein Ereignisabonnement für das Thema (in Mandant A) mithilfe des Speicherkontos (in Mandant B).

  1. Erstellen Sie ein Speicherkonto, indem Sie Anweisungen im Artikel zum Erstellen eines Speicherkontos befolgen.

  2. Fügen Sie über die Seite Access Control (IAM) die mehrinstanzenfähige App der entsprechenden Rolle hinzu, damit die App Ereignisse an das Speicherkonto senden kann. Beispiel: Mitwirkender für Speicherkonto, Mitwirkender für Speicherwarteschlangendaten, Absender von Speicherwarteschlangendaten. Anweisungen finden Sie unter Zuweisen einer Azure-Rolle für eine Azure-Warteschlange.

    Screenshot der Seite „Access Control (IAM)“ für das Speicherkonto

Aktivieren der mandantenübergreifenden Übermittlung und Konfigurieren des Endpunkts

Erstellen Sie ein Ereignisabonnement für das Thema mit Informationen zu Verbund-Clientanmeldeinformationen, die an das Zielspeicherkonto übergeben werden.

  1. Aktivieren Sie beim Erstellen eines Ereignisabonnements die mandantenübergreifende Übermittlung, und wählen Sie Endpunkt konfigurieren aus.

    Screenshot: Seite „Ereignisabonnement erstellen“ mit aktivierter Option für mandantenübergreifende Übermittlung

  2. Geben Sie auf der Seite Endpunkt die Abonnement-ID, die Ressourcengruppe, den Namen des Speicherkontos und den Warteschlangennamen in Mandant B an.

    Screenshot:Seite „Endpunkt“

  3. Führen Sie nun im Abschnitt Verwaltete Identität für Übermittlung die folgenden Schritte aus:

    1. Wählen Sie für Typ der verwalteten Identität die Option Benutzerseitig zugewiesen aus.

    2. Wählen Sie die benutzerseitig zugewiesene Identität aus der Dropdownliste aus.

    3. Geben Sie für Anmeldeinformationen für Verbundidentitätdie ID der mehrinstanzenfähigen Anwendung ein.

      Screenshot: Seite „Ereignisabonnement erstellen“ mit angegebener verwalteter Identität.

  4. Wählen Sie unten auf der Seite Erstellen aus, um das Ereignisabonnement zu erstellen.

    Veröffentlichen Sie nun das Ereignis im Thema, und überprüfen Sie, ob das Ereignis erfolgreich an das Zielspeicherkonto übermittelt wird.