Compartir vía

Entrega de eventos entre inquilinos mediante una identidad administrada

  • Artículo

En este artículo se proporciona información sobre la entrega de eventos en los que los recursos básicos de Azure Event Grid, como temas, dominios, temas del sistema y temas de asociados se encuentran en un inquilino y el recurso de destino de Azure se encuentra en otro inquilino.

En las secciones siguientes se muestra cómo implementar un escenario de muestra en el que un tema de Azure Event Grid con una identidad asignada por el usuario como credencial federada entrega eventos a un destino de cola de Azure Storage hospedado en otro inquilino. Los pasos generales son los siguientes:

  1. Cree un tema de Azure Event Grid con una identidad administrada asignada por el usuario en el Inquilino A.
  2. Cree una aplicación multiinquilino con una credencial de cliente federado.
  3. Cree un destino de cola de Azure Storage en el inquilino B.
  4. Al crear una suscripción de eventos al tema, habilite la entrega entre inquilinos y configure un punto de conexión.

Nota:

  • Esta funcionalidad actualmente está en su versión preliminar.
  • La entrega entre inquilinos está disponible actualmente para los siguientes puntos de conexión: temas y colas de Service Bus, Event Hubs y colas de Storage.

Creación de un tema con una identidad asignada por el usuario (inquilino A)

Cee una identidad asignada por el usuario siguiendo las instrucciones del artículo Administración de identidades administradas asignadas por el usuario. A continuación, habilite una identidad administrada asignada por el usuario al crear un tema o actualizar un tema existente mediante los pasos descritos en el procedimiento siguiente.

Habilitación de la identidad asignada por el usuario para un nuevo tema

  1. En la página Seguridad del Asistente para la creación de temas o dominios, seleccione Agregar identidad asignada por el usuario.

  2. En la ventana Seleccionar identidad asignada por el usuario, seleccione la suscripción que tiene la identidad asignada por el usuario, seleccione la identidad asignada por el usuario y, a continuación, elija Seleccionar.

    Captura de pantalla que muestra la opción Habilitar identidad asignada por el usuario seleccionada.

Habilitación de la identidad asignada por el usuario para un tema existente

  1. En la página Identidad, cambie a la pestaña Asignada por el usuario del panel derecho y seleccione + Agregar en la barra de herramientas.

    Captura de pantalla que muestra la pestaña Identidad asignada por el usuario.

  2. En la ventana para agregar una identidad administrada por el usuario, siga estos pasos:

    1. Seleccione la Suscripción de Azure que tiene la identidad por el usuario.
    2. Seleccione la identidad asignada por el usuario.
    3. Seleccione Agregar.

  3. Actualice la lista en la pestaña Asignada por el usuario para ver la identidad asignada por el usuario que ha agregado.

Vea los siguientes artículos para más información:

Creación de una aplicación multiinquilino

  1. Cree una aplicación de Microsoft Entra y actualice el registro para que sea multiinquilino. Para más detalles, consulte Habilitación del registro multiinquilino.

    Captura de pantalla que muestra la configuración de autenticación de aplicaciones de Microsoft Entra establecida en Multiinquilino.

  2. Cree la relación de credenciales de identidad federada entre la aplicación multiinquilino y la identidad asignada por el usuario del tema de Event Grid mediante Graph API.

    Captura de pantalla que muestra el método POST de ejemplo para habilitar la relación de credenciales de identidad federada entre la aplicación multiinquilino y la identidad asignada por el usuario.

    • En la dirección URL, use el identificador de objeto de aplicación multiinquilino.
    • Para Nombre, proporcione un nombre único para la credencial de cliente federado.
    • Para Emisor, use https://login.microsoftonline.com/TENANTID/v2.0 donde TENANTID es el identificador del inquilino donde se encuentra la identidad asignada por el usuario.
    • Para Firmante, especifique el identificador de cliente de la identidad asignada por el usuario.

    Compruebe y espere a que la llamada API se realice correctamente.

  3. Una vez que la llamada API se realiza correctamente, continúe para comprobar que la credencial de cliente federada está configurada correctamente en la aplicación multiinquilino.

    Captura de pantalla que muestra la página certificados y secretos de la aplicación multiinquilino.

    Nota:

    El identificador del firmante es el identificador de cliente de la identidad asignada por el usuario en el tema.

Creación de una cuenta de almacenamiento de destino (inquilino B)

Cree una cuenta de almacenamiento en un inquilino diferente del inquilino que tenga el tema de Event Grid de origen y la identidad asignada por el usuario. Cree una suscripción de eventos al tema (en el inquilino A) mediante la cuenta de almacenamiento (en el inquilino B) más adelante.

  1. Cree una cuenta de almacenamiento siguiendo las instrucciones del artículo Creación de una cuenta de almacenamiento.

  2. Con la página Control de acceso (IAM) , agregue la aplicación multiinquilino al rol adecuado para que la aplicación pueda enviar eventos a la cuenta de almacenamiento. Por ejemplo: Colaborador de la cuenta de almacenamiento, Colaborador de datos de cola de Storage, Remitente de mensajes de datos de cola de Storage. Para obtener instrucciones, consulte Asignación de un rol de Azure para una cola de Azure.

    Captura de pantalla que muestra la página Control de acceso (IAM) de la cuenta de almacenamiento.

Habilitación de la entrega entre inquilinos y configuración del punto de conexión

Cree una suscripción de eventos en el tema con información de credenciales de cliente federada que se pasa para entregarla a la cuenta de almacenamiento de destino.

  1. Al crear una suscripción de eventos, habilite entrega entre inquilinos y seleccione Configurar un punto de conexión.

    Captura de pantalla que muestra la página Crear suscripción de eventos con la opción Entrega entre inquilinos habilitada.

  2. En la página Punto de conexión, especifique el identificador de suscripción, el grupo de recursos, el nombre de la cuenta de almacenamiento y el nombre de la cola en el inquilino B.

    Captura de pantalla que muestra la página Punto de conexión.

  3. Ahora, en la sección Identidad administrada para entrega, siga estos pasos:

    1. Para Tipo de identidad administrada, seleccione usuario asignado.

    2. Seleccione el Identidad asignada por el usuario en la lista desplegable.

    3. En Credenciales de identidad federada, escriba el identificador de aplicación multiinquilino.

      Captura de pantalla que muestra la página Crear suscripción de eventos con la identidad administrada especificada.

  4. Seleccione Crear en la parte inferior de la página para crear la suscripción de eventos.

    Ahora, publique el evento en el tema y compruebe que el evento se entrega correctamente a la cuenta de almacenamiento de destino.