Dostarczanie zdarzeń między dzierżawami przy użyciu tożsamości zarządzanej

Ten artykuł zawiera informacje na temat dostarczania zdarzeń, w których podstawowe zasoby usługi Azure Event Grid, takie jak tematy, domeny, tematy systemowe i tematy partnerskie znajdują się w jednej dzierżawie, a zasób docelowy platformy Azure znajduje się w innej dzierżawie.

W poniższych sekcjach pokazano, jak zaimplementować przykładowy scenariusz, w którym temat usługi Azure Event Grid z tożsamością przypisaną przez użytkownika jako poświadczenie federacyjne dostarcza zdarzenia do miejsca docelowego kolejki usługi Azure Storage hostowanego w innej dzierżawie. Poniżej przedstawiono ogólne kroki:

1. Utwórz temat usługi Azure Event Grid z tożsamością zarządzaną przypisaną przez użytkownika w dzierżawie A.
2. Utwórz aplikację wielodostępną z poświadczeniami klienta federacyjnego.
3. Utwórz miejsce docelowe kolejki usługi Azure Storage w dzierżawie B.
4. Podczas tworzenia subskrypcji zdarzeń do tematu włącz dostarczanie między dzierżawami i skonfiguruj punkt końcowy.

Uwaga

• Ta funkcja jest aktualnie dostępna jako funkcja podglądu.
• Dostarczanie między dzierżawami jest obecnie dostępne dla następujących punktów końcowych: tematy i kolejki usługi Service Bus, usługa Event Hubs i kolejki usługi Storage.

Tworzenie tematu z tożsamością przypisaną przez użytkownika (dzierżawa A)

Utwórz tożsamość przypisaną przez użytkownika, postępując zgodnie z instrukcjami w artykule Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika. Następnie włącz tożsamość zarządzaną przypisaną przez użytkownika podczas tworzenia tematu lub aktualizowania istniejącego tematu, wykonując kroki opisane w poniższej procedurze.

Włączanie tożsamości przypisanej przez użytkownika dla nowego tematu

1. Na stronie Zabezpieczenia kreatora tworzenia tematu lub domeny wybierz pozycję Dodaj tożsamość przypisaną przez użytkownika.

2. W oknie Wybieranie tożsamości przypisanej przez użytkownika wybierz subskrypcję z tożsamością przypisaną przez użytkownika, wybierz tożsamość przypisaną przez użytkownika, a następnie wybierz pozycję Wybierz.

   

Włączanie tożsamości przypisanej przez użytkownika dla istniejącego tematu

1. Na stronie Tożsamość przejdź do karty Przypisane przez użytkownika w okienku po prawej stronie, a następnie wybierz pozycję + Dodaj na pasku narzędzi.

   

2. W oknie Dodawanie tożsamości zarządzanej użytkownika wykonaj następujące kroki:

   1. Wybierz subskrypcję platformy Azure, która ma tożsamość przypisaną przez użytkownika.
   2. Wybierz tożsamość przypisaną przez użytkownika.
   3. Wybierz Dodaj.

3. Odśwież listę na karcie Przypisane przez użytkownika, aby wyświetlić dodaną tożsamość przypisaną przez użytkownika.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Włączanie tożsamości przypisanej przez użytkownika dla tematu systemowego
• Włączanie tożsamości przypisanej przez użytkownika dla tematu niestandardowego lub domeny

Tworzenie aplikacji wielodostępnej

1. Utwórz aplikację Microsoft Entra i zaktualizuj rejestrację tak, aby był wielodostępny. Aby uzyskać szczegółowe informacje, zobacz Włączanie rejestracji wielodostępnych.

   

2. Utwórz relację poświadczeń tożsamości federacyjnej między aplikacją wielodostępną i tożsamością przypisaną przez użytkownika tematu usługi Event Grid przy użyciu interfejsu API programu Graph.

   

   • W adresie URL użyj identyfikatora obiektu aplikacji wielodostępnych.
   • W polu Nazwa podaj unikatową nazwę poświadczeń klienta federacyjnego.
   • W polu Wystawca użyj https://login.microsoftonline.com/TENANTID/v2.0 identyfikatora TENANTID dzierżawy, w której znajduje się tożsamość przypisana przez użytkownika.
   • W polu Temat określ identyfikator klienta tożsamości przypisanej przez użytkownika.

   Sprawdź i poczekaj na pomyślne wywołanie interfejsu API.

3. Po pomyślnym wywołaniu interfejsu API przejdź do sprawdzenia, czy poświadczenie klienta federacyjnego jest poprawnie skonfigurowane w aplikacji wielodostępne.

   

   Uwaga

   Identyfikator podmiotu jest identyfikatorem klienta tożsamości przypisanej przez użytkownika w temacie.

Tworzenie docelowego konta magazynu (dzierżawa B)

Utwórz konto magazynu w dzierżawie, która różni się od dzierżawy, która ma źródłowy temat usługi Event Grid i tożsamość przypisaną przez użytkownika. Subskrypcja zdarzeń jest tworzona w temacie (w dzierżawie A) przy użyciu konta magazynu (w dzierżawie B) później.

1. Utwórz konto magazynu, postępując zgodnie z instrukcjami z artykułu Tworzenie konta magazynu.

2. Korzystając ze strony Kontrola dostępu (IAM ), dodaj aplikację wielodostępną do odpowiedniej roli, aby aplikacja mogła wysyłać zdarzenia do konta magazynu. Na przykład: Współautor konta magazynu, Współautor danych kolejki magazynu, Nadawca komunikatu o danych kolejki magazynu. Aby uzyskać instrukcje, zobacz Przypisywanie roli platformy Azure dla kolejki platformy Azure.

   

Włączanie dostarczania między dzierżawami i konfigurowanie punktu końcowego

Utwórz subskrypcję zdarzeń w temacie z przekazanymi informacjami o poświadczeniach klienta federacyjnego w celu dostarczenia do docelowego konta magazynu.

1. Podczas tworzenia subskrypcji zdarzeń włącz dostarczanie między dzierżawami i wybierz pozycję Konfiguruj punkt końcowy.

   

2. Na stronie Punkt końcowy określ identyfikator subskrypcji, grupę zasobów, nazwę konta magazynu i nazwę kolejki w dzierżawie B.

   

3. Teraz w sekcji Tożsamość zarządzana dla dostarczania wykonaj następujące kroki:

   1. W polu Typ tożsamości zarządzanej wybierz pozycję Przypisano użytkownika.

   2. Wybierz tożsamość przypisaną przez użytkownika z listy rozwijanej.

   3. W obszarze Poświadczenia tożsamości federacyjnej wprowadź wielodostępny identyfikator aplikacji.

      

4. Wybierz pozycję Utwórz w dolnej części strony, aby utworzyć subskrypcję zdarzeń.

   Teraz opublikuj zdarzenie w temacie i sprawdź, czy zdarzenie zostało pomyślnie dostarczone do docelowego konta magazynu.