Entrega de eventos entre locatários usando uma identidade gerenciada

Este artigo fornece informações sobre a entrega de eventos em que os recursos básicos da Grade de Eventos do Azure, como tópicos, domínios, tópicos do sistema e tópicos de parceiros, estão em um locatário e o recurso de destino do Azure está em outro locatário.

As seções a seguir mostram como implementar um cenário de exemplo em que um tópico da Grade de Eventos do Azure com uma identidade atribuída pelo usuário como uma credencial federada entrega eventos a um destino da Fila de Armazenamento do Azure hospedado em outro locatário. Aqui estão as etapas de alto nível:

1. Crie um tópico da Grade de Eventos do Azure com uma identidade gerenciada atribuída pelo usuário no Locatário A.
2. Crie um aplicativo multilocatário com uma credencial de cliente federado.
3. Crie um destino da Fila de Armazenamento do Azure no Locatário B.
4. Ao criar uma assinatura de evento para o tópico, habilite a entrega entre locatários e configure um ponto de extremidade.

Nota

• Esta funcionalidade está atualmente em pré-visualização.
• A entrega entre locatários está atualmente disponível para os seguintes pontos de extremidade: tópicos e filas do Barramento de Serviço, Hubs de Eventos e filas de armazenamento.

Criar um tópico com uma identidade atribuída pelo usuário (Locatário A)

Crie uma identidade atribuída pelo usuário seguindo as instruções no artigo Gerenciar identidades gerenciadas atribuídas pelo usuário. Em seguida, habilite uma identidade gerenciada atribuída pelo usuário ao criar um tópico ou atualizar um tópico existente usando as etapas do procedimento a seguir.

Habilitar identidade atribuída pelo usuário para um novo tópico

1. Na página Segurança do tópico ou assistente de criação de domínio, selecione Adicionar identidade atribuída ao usuário.

2. Na janela Selecionar identidade atribuída ao usuário, selecione a assinatura que tem a identidade atribuída pelo usuário, selecione a identidade atribuída pelo usuário e escolha Selecionar.

   

Habilitar identidade atribuída pelo usuário para um tópico existente

1. Na página Identidade, alterne para a guia Usuário atribuído no painel direito e selecione + Adicionar na barra de ferramentas.

   

2. Na janela Adicionar identidade gerenciada pelo usuário, siga estas etapas:

   1. Selecione a assinatura do Azure que tem a identidade atribuída pelo usuário.
   2. Selecione a identidade atribuída pelo usuário.
   3. Selecione Adicionar.

3. Atualize a lista na guia Usuário atribuído para ver a identidade atribuída pelo usuário adicionada.

Para obter mais informações, consulte os seguintes artigos:

• Habilitar identidade atribuída pelo usuário para um tópico do sistema
• Habilitar a identidade atribuída pelo usuário para um tópico personalizado ou um domínio

Criar um aplicativo multilocatário

1. Crie um aplicativo Microsoft Entra e atualize o registro para ser multilocatário. Para obter detalhes, consulte Habilitar registro multilocatário.

   

2. Crie a relação de credenciais de identidade federada entre o aplicativo multilocatário e a identidade atribuída pelo usuário do tópico Grade de Eventos usando a API do Graph.

   

   • Na URL, use a ID do objeto do aplicativo multilocatário.
   • Em Name, forneça um nome exclusivo para a credencial de cliente federado.
   • Para Emissor, use https://login.microsoftonline.com/TENANTID/v2.0 onde TENANTID é a ID do locatário onde a identidade atribuída pelo usuário está localizada.
   • Em Assunto, especifique o ID do cliente da identidade atribuída pelo usuário.

   Verifique e aguarde até que a chamada de API seja bem-sucedida.

3. Quando a chamada de API for bem-sucedida, prossiga para verificar se a credencial de cliente federado está configurada corretamente no aplicativo multilocatário.

   

   Nota

   O identificador de assunto é o ID do cliente da identidade atribuída pelo usuário no tópico.

Criar conta de armazenamento de destino (Locatário B)

Crie uma conta de armazenamento em um locatário diferente do locatário que tenha o tópico Grade de Eventos de origem e a identidade atribuída pelo usuário. Você cria uma assinatura de evento para o tópico (no locatário A) usando a conta de armazenamento (no locatário B) mais tarde.

1. Crie uma conta de armazenamento seguindo as instruções do artigo Criar uma conta de armazenamento.

2. Usando a página Controle de Acesso (IAM), adicione o aplicativo multilocatário à função apropriada para que o aplicativo possa enviar eventos para a conta de armazenamento. Por exemplo: Colaborador da Conta de Armazenamento, Colaborador de Dados da Fila de Armazenamento, Remetente de Mensagem de Dados da Fila de Armazenamento. Para obter instruções, consulte Atribuir uma função do Azure para uma fila do Azure.

   

Habilite a entrega entre locatários e configure o ponto de extremidade

Crie uma assinatura de evento sobre o tópico com informações de credenciais de cliente federado passadas para entregar à conta de armazenamento de destino.

1. Ao criar uma assinatura de evento, habilite a entrega entre locatários e selecione Configurar um ponto de extremidade.

   

2. Na página Ponto de Extremidade, especifique o ID da assinatura, o grupo de recursos, o nome da conta de armazenamento e o nome da fila no Locatário B.

   

3. Agora, na seção Identidade gerenciada para entrega, execute estas etapas:

   1. Em Tipo de identidade gerenciada, selecione Usuário atribuído.

   2. Selecione a identidade atribuída pelo usuário na lista suspensa.

   3. Para Credenciais de identidade federada, insira a ID do aplicativo multilocatário.

      

4. Selecione Criar na parte inferior da página para criar a assinatura do evento.

   Agora, publique o evento no tópico e verifique se o evento foi entregue com êxito na conta de armazenamento de destino.