Recapito di eventi tra tenant con un'identità gestita

Questo articolo fornisce informazioni sul recapito di eventi in cui Griglia di eventi di Azure risorse di base, ad esempio argomenti, domini, argomenti di sistema e partner, si trovano in un tenant e la risorsa di destinazione di Azure si trova in un altro tenant.

Le sezioni seguenti illustrano come implementare uno scenario di esempio in cui un argomento Griglia di eventi di Azure con un'identità assegnata dall'utente come credenziale federata recapita eventi a una destinazione coda Archiviazione di Azure ospitata in un altro tenant. Ecco i passaggi principali:

1. Creare un argomento Griglia di eventi di Azure con un'identità gestita assegnata dall'utente nel tenant A.
2. Creare un'app multi-tenant con credenziali client federate.
3. Creare una destinazione coda Archiviazione di Azure nel tenant B.
4. Durante la creazione di una sottoscrizione di eventi all'argomento, abilitare il recapito tra tenant e configurare un endpoint.

Nota

• Questa funzionalità è attualmente disponibile solo in anteprima.
• Il recapito tra tenant è attualmente disponibile per gli endpoint seguenti: bus di servizio argomenti e code, Hub eventi e code di archiviazione.

Creare un argomento con un'identità assegnata dall'utente (Tenant A)

Creare un'identità assegnata dall'utente seguendo le istruzioni riportate nell'articolo Gestire le identità gestite assegnate dall'utente. Abilitare quindi un'identità gestita assegnata dall'utente durante la creazione di un argomento o l'aggiornamento di un argomento esistente attenendosi alla procedura seguente.

Abilitare l'identità assegnata dall'utente per un nuovo argomento

1. Nella pagina Sicurezza dell'argomento o della creazione guidata del dominio selezionare Aggiungi identità assegnata dall'utente.

2. Nella finestra Seleziona identità assegnata dall'utente selezionare la sottoscrizione con l'identità assegnata dall'utente, selezionare l'identità assegnata dall'utente e quindi scegliere Seleziona.

   

Abilitare l'identità assegnata dall'utente per un argomento esistente

1. Nella pagina Identità passare alla scheda Assegnata dall'utentenel riquadro destro e quindi selezionare + Aggiungi sulla barra degli strumenti.

   

2. Nella finestra Aggiungi identità gestita dall'utente seguire questa procedura:

   1. Selezionare la sottoscrizione di Azure con l'identità assegnata dall'utente.
   2. Selezionare l'identità assegnata dall'utente.
   3. Selezionare Aggiungi.

3. Aggiornare l'elenco nella scheda Assegnata dall'utente per visualizzare l'identità assegnata dall'utente aggiunta.

Per altre informazioni, vedere gli articoli seguenti:

• Abilitare l'identità assegnata dall'utente per un argomento di sistema
• Abilitare l'identità assegnata dall'utente per un argomento personalizzato o un dominio

Creare un'applicazione multi-tenant

1. Creare un'app Microsoft Entra e aggiornare la registrazione in modo che sia multi-tenant. Per informazioni dettagliate, vedere Abilitare la registrazione multi-tenant.

   

2. Creare la relazione di credenziale dell'identità federata tra l'app multi-tenant e l'identità assegnata dall'utente dell'argomento di Griglia di eventi usando l'API Graph.

   

   • Nell'URL usare l'ID oggetto app multi-tenant.
   • In Nome specificare un nome univoco per le credenziali client federate.
   • Per Autorità emittente usare https://login.microsoftonline.com/TENANTID/v2.0 dove TENANTID è l'ID del tenant in cui si trova l'identità assegnata dall'utente.
   • Per Subject specificare l'ID client dell'identità assegnata dall'utente.

   Verificare e attendere che la chiamata API abbia esito positivo.

3. Al termine della chiamata API, procedere con la verifica che le credenziali client federate siano configurate correttamente nell'app multi-tenant.

   

   Nota

   L'identificatore del soggetto è l'ID client dell'identità assegnata dall'utente nell'argomento.

Creare un account di archiviazione di destinazione (tenant B)

Creare un account di archiviazione in un tenant diverso dal tenant con l'argomento griglia di eventi di origine e l'identità assegnata dall'utente. Si crea una sottoscrizione di eventi all'argomento (nel tenant A) usando l'account di archiviazione (nel tenant B) in un secondo momento.

1. Creare un account di archiviazione seguendo le istruzioni disponibili nell'articolo Creare un account di archiviazione.

2. Usando la pagina Controllo di accesso (IAM), aggiungere l'app multi-tenant al ruolo appropriato in modo che l'app possa inviare eventi all'account di archiviazione. Ad esempio: Collaboratore dell'account di archiviazione, Collaboratore ai dati della coda di archiviazione, Mittente del messaggio dei dati della coda di archiviazione. Per istruzioni, vedere Assegnare un ruolo di Azure per una coda di Azure.

   

Abilitare il recapito tra tenant e configurare l'endpoint

Creare una sottoscrizione di eventi nell'argomento con le informazioni sulle credenziali client federate passate per recapitare all'account di archiviazione di destinazione.

1. Durante la creazione di una sottoscrizione di eventi, abilitare il recapito tra tenant e selezionare Configura un endpoint.

   

2. Nella pagina Endpoint specificare l'ID sottoscrizione, il gruppo di risorse, il nome dell'account di archiviazione e il nome della coda nel tenant B.

   

3. Nella sezione Identità gestita per il recapito seguire questa procedura:

   1. Per Tipo di identità gestita selezionare Assegnata dall'utente.

   2. Selezionare l'identità assegnata dall'utente dall'elenco a discesa.

   3. Per Credenziali di identità federate immettere l'ID applicazione multi-tenant.

      

4. Selezionare Crea nella parte inferiore della pagina per creare la sottoscrizione di eventi.

   A questo momento, pubblicare l'evento nell'argomento e verificare che l'evento venga recapitato correttamente all'account di archiviazione di destinazione.