Partager via

Remise d’événements multilocataire en utilisant une identité managée

  • Article

Cet article fournit des informations sur la remise d’événements quand des ressources Azure Event Grid de base, telles que les rubriques, les domaines, les rubriques système et les rubriques de partenaires, se trouvent dans un locataire et que la ressource de destination Azure se trouve dans un autre locataire.

Les sections suivantes vous montrent comment implémenter un exemple de scénario où une rubrique Azure Event Grid avec une identité affectée par l’utilisateur comme informations d’identification fédérées remet des événements à une destination Stockage File d’attente Azure hébergée dans un autre locataire. Les étapes principales sont les suivantes :

  1. Créer une rubrique Azure Event Grid avec une identité managée affectée par l’utilisateur dans le Locataire A.
  2. Créer une application multilocataire avec des informations d’identification client fédérées.
  3. Créer une destination Stockage File d’attente Azure dans le Locataire B.
  4. Lors de la création d’un abonnement aux événements sur la rubrique, activez la remise multilocataire et configurez un point de terminaison.

Remarque

  • Actuellement, cette fonctionnalité est uniquement disponible en tant que version préliminaire.
  • La remise multilocataire est actuellement disponible pour les points de terminaison suivants : rubriques et files d’attente Service Bus, Event Hubs et files d’attente de stockage.

Créer une rubrique avec une identité affectée par l’utilisateur (Locataire A)

Créez une identité attribuée par l’utilisateur en suivant les instructions de l’article Gérer les identités managées attribuées à l’utilisateur. Ensuite, activez une identité managée affectée par l’utilisateur lors de la création d’une rubrique ou de la mise à jour d’une rubrique existante en effectuant les étapes de la procédure suivante.

Activer l’identité affectée par l’utilisateur pour une nouvelle rubrique

  1. Sur la page Sécurité de l’Assistant Création de rubrique ou de domaine, sélectionnez Ajouter l’identité attribuée par l’utilisateur.

  2. Dans la fenêtre Sélectionner une identité affectée par l’utilisateur, sélectionnez l’abonnement qui a l’identité affectée par l’utilisateur, sélectionnez l’identité affectée par l’utilisateur, puis choisissez Sélectionner.

    Capture d’écran montrant l’option Activer l’identité affectée par l’utilisateur sélectionnée.

Activer l’identité affectée par l’utilisateur pour une rubrique existante

  1. Dans la page Identité, basculez vers l’onglet Attribuée par l’utilisateur dans le volet de droite, puis sélectionnez + Ajouter dans la barre d’outils.

    Capture d’écran montrant l’onglet Identité affectée par l’utilisateur.

  2. Dans la fenêtre Ajouter une identité managée de l’utilisateur, procédez comme suit :

    1. Sélectionnez l’abonnement Azure doté de l’identité attribuée par l’utilisateur.
    2. Sélectionnez l’identité attribuée par l’utilisateur.
    3. Sélectionnez Ajouter.

  3. Actualisez la liste sous l’onglet Attribuée par l’utilisateur pour voir l’identité attribuée par l’utilisateur ajoutée.

Pour plus d’informations, consultez les articles suivants :

Créer une application multilocataire

  1. Créez une application Microsoft Entra et mettez à jour l’inscription pour qu’elle devienne multilocataire. Pour plus d’informations, consultez Activer l’inscription multilocataire.

    Capture d’écran montrant le paramètre d’authentification d’application Microsoft Entra défini sur Multilocataire.

  2. Créez la relation des informations d’identification d’identité fédérées entre l’application multilocataire et l’identité affectée par l’utilisateur de la rubrique Event Grid en utilisant l’API Graph.

    Capture d’écran montrant l’exemple de méthode POST pour activer la relation des informations d’identification d’identité fédérées entre l’application multilocataire et l’identité affectée par l’utilisateur.

    • Dans l’URL, utilisez l’ID d’objet d’application multilocataire.
    • Pour Nom, donnez un nom unique pour les informations d’identification client fédérées.
    • Pour Émetteur, utilisez https://login.microsoftonline.com/TENANTID/v2.0TENANTID est l’ID du locataire où se trouve l’identité affectée par l’utilisateur.
    • Pour Sujet, spécifiez l’ID client de l’identité affectée par l’utilisateur.

    Vérifiez et attendez que l’appel d’API réussisse.

  3. Une fois l’appel d’API réussi, vérifiez que les informations d’identification client fédérées sont configurées correctement sur l’application multilocataire.

    Capture d’écran montrant la page Certificats et secrets de l’application multilocataire.

    Remarque

    L’identificateur du sujet est l’ID client de l’identité affectée par l’utilisateur sur la rubrique.

Créer un compte de stockage de destination (Locataire B)

Créez un compte de stockage dans un locataire différent du locataire qui a la rubrique Event Grid source et l’identité affectée par l’utilisateur. Vous créez un abonnement aux événements sur la rubrique (dans le locataire A) à l’aide du compte de stockage (dans le locataire B) ultérieurement.

  1. Créez un compte de stockage en suivant les instructions de l’article Créer un compte de stockage.

  2. En utilisant la page Contrôle d’accès (IAM), ajoutez l’application multilocataire au rôle approprié afin que celle-ci puisse envoyer des événements au compte de stockage. Par exemple, Contributeur de comptes de stockage, Contributeur aux données en file d’attente du stockage, Expéditeur de messages de données en file d’attente du stockage. Pour obtenir des instructions, consultez Attribuer un rôle Azure pour une file d’attente Azure.

    Capture d’écran montrant la page Contrôle d’accès (IAM) pour le compte de stockage.

Activer la remise multilocataire et configurer le point de terminaison

Créez un abonnement aux événements sur la rubrique avec les informations d’identification client fédérées transmises pour la remise au compte de stockage de destination.

  1. Lors de la création d’un abonnement aux événements, activez la remise multilocataire et sélectionnez Configurer un point de terminaison.

    Capture d’écran montrant la page Créer un abonnement aux événements avec l’option Remise multilocataire activée.

  2. Dans la page Point de terminaison, spécifiez l’ID d’abonnement, le groupe de ressources, le nom du compte de stockage et le nom de la file d’attente dans le Locataire B.

    Capture d’écran montrant la page Point de terminaison.

  3. À présent, dans la section Identité managée pour la remise, suivez ces étapes :

    1. Pour Type d’identité managée, sélectionnez Affectée par l’utilisateur.

    2. Sélectionnez l’identité affectée par l’utilisateur dans la liste déroulante.

    3. Pour Informations d’identification d’identité fédérée, entrez l’ID de l’application multilocataire.

      Capture d’écran montrant la page Créer un abonnement aux événements avec l’identité managée spécifiée.

  4. Sélectionnez Créer en bas de la page pour créer l’abonnement aux événements.

    À présent, publiez l’événement dans la rubrique et vérifiez que l’événement est remis avec succès au compte de stockage de destination.