Levering van gebeurtenissen tussen tenants met behulp van een beheerde identiteit

Dit artikel bevat informatie over de levering van gebeurtenissen waarbij Azure Event Grid-basisresources, zoals onderwerpen, domeinen, systeemonderwerpen en partneronderwerpen zich in één tenant bevinden en de Azure-doelresource zich in een andere tenant bevindt.

In de volgende secties ziet u hoe u een voorbeeldscenario implementeert waarin een Azure Event Grid-onderwerp met een door de gebruiker toegewezen identiteit als federatieve referentie gebeurtenissen levert aan een Azure Storage Queue-bestemming die wordt gehost in een andere tenant. Dit zijn de stappen op hoog niveau:

1. Maak een Azure Event Grid-onderwerp met een door de gebruiker toegewezen beheerde identiteit in Tenant A.
2. Maak een multitenant-app met een federatieve clientreferentie.
3. Maak een Azure Storage-wachtrijbestemming in tenant B.
4. Schakel tijdens het maken van een gebeurtenisabonnement op het onderwerp de levering tussen tenants in en configureer een eindpunt.

Notitie

• Deze functie is momenteel beschikbaar in preview.
• Levering tussen tenants is momenteel beschikbaar voor de volgende eindpunten: Service Bus-onderwerpen en -wachtrijen, Event Hubs en Opslagwachtrijen.

Een onderwerp maken met een door de gebruiker toegewezen identiteit (Tenant A)

Maak een door de gebruiker toegewezen identiteit door de instructies te volgen in het artikel Door de gebruiker toegewezen beheerde identiteiten beheren. Schakel vervolgens een door de gebruiker toegewezen beheerde identiteit in terwijl u een onderwerp maakt of een bestaand onderwerp bijwerkt met behulp van de stappen in de volgende procedure.

Door de gebruiker toegewezen identiteit inschakelen voor een nieuw onderwerp

1. Selecteer op de pagina Beveiliging van het onderwerp of de wizard Domein maken de optie Door de gebruiker toegewezen identiteit toevoegen.

2. Selecteer in het venster Door de gebruiker toegewezen identiteit selecteren het abonnement met de door de gebruiker toegewezen identiteit, selecteer de door de gebruiker toegewezen identiteit en kies vervolgens Selecteren.

   

Door de gebruiker toegewezen identiteit inschakelen voor een bestaand onderwerp

1. Ga op de pagina Identiteit naar het tabblad Door de gebruiker toegewezen in het rechterdeelvenster en selecteer vervolgens + Toevoegen op de werkbalk.

   

2. Voer in het venster Door gebruiker beheerde identiteit toevoegen de volgende stappen uit:

   1. Selecteer het Azure-abonnement met de door de gebruiker toegewezen identiteit.
   2. Selecteer de door de gebruiker toegewezen identiteit.
   3. Selecteer Toevoegen.

3. Vernieuw de lijst op het tabblad Toegewezen gebruiker om de toegevoegde door de gebruiker toegewezen identiteit te zien.

Raadpleeg voor meer informatie de volgende artikelen:

• Door de gebruiker toegewezen identiteit inschakelen voor een systeemonderwerp
• Door de gebruiker toegewezen identiteit inschakelen voor een aangepast onderwerp of een domein

Een multitenant-toepassing maken

1. Maak een Microsoft Entra-app en werk de registratie bij als multitenant. Zie Multitenant-registratie inschakelen voor meer informatie.

   

2. Maak de relatie tussen federatieve identiteitsreferenties tussen de multitenant-app en de door de gebruiker toegewezen identiteit van het Event Grid-onderwerp met behulp van Graph API.

   

   • Gebruik in de URL de object-id van de app met meerdere tenants.
   • Geef voor Naam een unieke naam op voor de federatieve clientreferentie.
   • Gebruik https://login.microsoftonline.com/TENANTID/v2.0 voor verlener waar TENANTID zich de id van de tenant bevindt waar de door de gebruiker toegewezen identiteit zich bevindt.
   • Geef voor Onderwerp de client-id op van de door de gebruiker toegewezen identiteit.

   Controleer en wacht tot de API-aanroep is geslaagd.

3. Zodra de API-aanroep is geslaagd, gaat u verder met het controleren of de federatieve clientreferenties correct zijn ingesteld voor de multitenant-app.

   

   Notitie

   De onderwerp-id is de client-id van de door de gebruiker toegewezen identiteit in het onderwerp.

Doelopslagaccount maken (Tenant B)

Maak een opslagaccount in een tenant die verschilt van de tenant met het Event Grid-brononderwerp en de door de gebruiker toegewezen identiteit. U maakt een gebeurtenisabonnement op het onderwerp (in tenant A) met behulp van het opslagaccount (in tenant B) later.

1. Maak een opslagaccount door de instructies te volgen in het artikel Een opslagaccount maken.

2. Voeg op de pagina Toegangsbeheer (IAM) de app met meerdere tenants toe aan de juiste rol, zodat de app gebeurtenissen naar het opslagaccount kan verzenden. Bijvoorbeeld: Inzender voor opslagaccounts, Inzender voor opslagwachtrijgegevens, Afzender van opslagwachtrijgegevensbericht. Zie Een Azure-rol toewijzen voor een Azure-wachtrij voor instructies.

   

Levering tussen tenants inschakelen en het eindpunt configureren

Maak een gebeurtenisabonnement op het onderwerp met federatieve clientreferentiegegevens die worden doorgegeven om aan het doelopslagaccount te leveren.

1. Schakel tijdens het maken van een gebeurtenisabonnement de levering tussen tenants in en selecteer Een eindpunt configureren.

   

2. Geef op de pagina Eindpunt de abonnements-id, resourcegroep, naam van het opslagaccount en de wachtrijnaam op in Tenant B.

   

3. Voer nu in de sectie Managed Identity for Delivery de volgende stappen uit:

   1. Selecteer Voor het type beheerde identiteit de optie Toegewezen gebruiker.

   2. Selecteer de door de gebruiker toegewezen identiteit in de vervolgkeuzelijst.

   3. Voer voor federatieve identiteitsreferenties de toepassings-id voor meerdere tenants in.

      

4. Selecteer Maken onderaan de pagina om het gebeurtenisabonnement te maken.

   Publiceer nu de gebeurtenis naar het onderwerp en controleer of de gebeurtenis is bezorgd bij het doelopslagaccount.