次の方法で共有

マネージド ID を使用したテナント間イベント配信

  • [アーティクル]

この記事では、トピック、ドメイン、システム トピック、パートナー トピックなどの Azure Event Grid の基本的なリソースが 1 つのテナントにあり、Azure の宛先リソースが別のテナントにある場合のイベントの配信に関する情報を提供します。

次のセクションでは、フェデレーション資格情報としてユーザー割り当て ID を持つ Azure Event Grid トピックが、別のテナントでホストされている Azure Storage キューの宛先にイベントを配信するサンプル シナリオを実装する方法について説明します。 手順の概要は次のとおりです。

  1. テナント A にユーザー割り当てマネージド ID を使用して Azure Event Grid トピックを作成します。
  2. フェデレーション クライアント資格情報を使用してマルチテナント アプリを作成します。
  3. テナント B に Azure Storage キューの宛先を作成します。
  4. トピックへのイベント サブスクリプションを作成するときに、テナント間配信を有効にし、エンドポイントを構成します。

Note

  • 現在、この機能はプレビュー段階にあります。
  • 現在、テナント間配信は、Service Bus のトピックとキュー、Event Hubs、Storage キューのエンドポイントで使用できます。

ユーザー割り当て ID を使用してトピックを作成する (テナント A)

ユーザー割り当てマネージド ID の管理」の記事の手順に従って、ユーザー割り当て ID を作成します。 次に、以下の手順の手順を使用して、トピックを作成するか既存のトピックを更新するときに、ユーザー割り当てマネージド ID を有効にします。

新しいトピックのユーザー割り当て ID を有効にする

  1. トピックまたはドメインの作成ウィザードの [セキュリティ] ページで、[ユーザー割り当て ID を追加する] を選択します。

  2. [ユーザー割り当て ID の選択] ウィンドウで、ユーザー割り当て ID を持つサブスクリプションを選択し、[ユーザー割り当て ID] を選択してから、[選択] を選択します。

    [ユーザー割り当て ID を有効にする] オプションが選択されていることを示すスクリーンショット。

既存のトピックのユーザー割り当て ID を有効にする

  1. [ID] ページで、右ペインの [ユーザー割り当て済み] タブに切り替え、ツール バーの [+ 追加] を選択します。

    [ユーザー割り当て ID] タブを示すスクリーンショット。

  2. [ユーザー マネージド ID の追加] ウィンドウで、次の手順を実行します。

    1. ユーザー割り当て ID を持つ Azure サブスクリプションを選択します。
    2. ユーザー割り当て ID を選択します。
    3. [追加] を選択します。

  3. [ユーザー割り当て済み] タブの一覧を更新し、追加されたユーザー割り当て ID を確認します。

詳細については、次の記事をご覧ください。

マルチテナント アプリケーションを作成する

  1. Microsoft Entra アプリを作成し、マルチテナントになるように登録を更新します。 詳細については、マルチテナント登録の有効化に関する記事を参照してください。

    Microsoft Entra アプリの認証設定がマルチテナントに設定されていることを示すスクリーンショット。

  2. Graph API を使用して、マルチテナント アプリと Event Grid トピックのユーザー割り当て ID の間にフェデレーション ID 資格情報の関係を作成します。

    マルチテナント アプリとユーザー割り当て ID の間のフェデレーション ID 資格情報の関係を有効にするサンプル POST メソッドを示すスクリーンショット。

    • URL では、マルチテナント アプリのオブジェクト ID を使用します。
    • [名前] に、フェデレーション クライアント資格情報の一意の名前を指定します。
    • [発行者] には、https://login.microsoftonline.com/TENANTID/v2.0 を使用します。ここで、TENANTID は、ユーザー割り当て ID が存在するテナントの ID です。
    • [サブジェクト] には、ユーザー割り当て ID のクライアント ID を指定します。

    API 呼び出しが成功するのを確認して待ちます。

  3. API 呼び出しが成功したら、フェデレーション クライアントの資格情報がマルチテナント アプリで正しく設定されていることの確認に進みます。

    マルチテナント アプリの [証明書とシークレット] ページを示すスクリーンショット。

    Note

    サブジェクト ID は、トピックに対するユーザー割り当て ID のクライアント ID です。

宛先ストレージ アカウントを作成する (テナント B)

ソース Event Grid トピックとユーザー割り当て ID を持つテナントとは異なるテナントにストレージ アカウントを作成します。 後で、ストレージ アカウント (テナント B) を使用して、トピック (テナント A) へのイベント サブスクリプションを作成します。

  1. ストレージ アカウントを作成する」の記事の手順に従って、ストレージ アカウントを作成します。

  2. [アクセスの制御 (IAM)] ページを使用して、マルチテナント アプリを適切なロールに追加し、アプリがストレージ アカウントにイベントを送信できるようにします。 たとえばストレージ アカウント共同作成者、ストレージ キュー データ共同作成者、ストレージ キュー データ メッセージ送信者などです。 手順については、Azure キューに Azure ロールを割り当てるに関するページを参照してください。

    ストレージ アカウントの [アクセスの制御 (IAM)] ページを示すスクリーンショット。

テナント間配信を有効にし、エンドポイントを構成する

宛先ストレージ アカウントに配信するために渡されるフェデレーション クライアント資格情報を使用して、トピックのイベント サブスクリプションを作成します。

  1. イベント サブスクリプションを作成するときに、テナント間配信を有効にし、[エンドポイントの構成] を選択します。

    テナント間配信オプションが有効な [イベント サブスクリプションの作成] ページを示すスクリーンショット。

  2. [エンドポイント] ページで、テナント B のサブスクリプション ID、リソース グループ、ストレージ アカウント名、キュー名を指定します。

    [エンドポイント] ページを示すスクリーンショット。

  3. 次に、[配信用マネージド ID] セクションで次の手順を実行します。

    1. [マネージド ID の種類] で、[ユーザー割り当て] を選択します。

    2. ドロップダウン リストから [ユーザー割り当て ID] を選択します。

    3. [フェデレーション ID 資格情報] には、マルチテナント アプリケーション ID を入力します。

      マネージド ID が指定された [イベント サブスクリプションの作成] ページを示すスクリーンショット。

  4. ページの下部にある [作成] を選択して、イベント サブスクリプションを作成します。

    ここで、イベントをトピックに発行し、イベントが宛先ストレージ アカウントに正常に配信されたことを確認します。