Доставка событий между клиентами с помощью управляемого удостоверения

В этой статье содержатся сведения о доставке событий, в которых Сетка событий Azure базовые ресурсы, такие как темы, домены, системные темы и разделы партнеров, находятся в одном клиенте, а целевой ресурс Azure находится в другом клиенте.

В следующих разделах показано, как реализовать пример сценария, в котором Сетка событий Azure раздел с удостоверением, назначенным пользователем, как федеративные учетные данные предоставляют события в назначение очереди служба хранилища Azure, размещенной в другом клиенте. Ниже приведены основные действия.

1. Создайте раздел Сетка событий Azure с управляемым удостоверением, назначенным пользователем, в клиенте A.
2. Создайте мультитенантное приложение с федеративными учетными данными клиента.
3. Создайте назначение очереди служба хранилища Azure в клиенте B.
4. При создании подписки на события в разделе включите доставку между клиентами и настройте конечную точку.

Примечание.

• Эта функция в настоящее время доступна для предварительного ознакомления.
• В настоящее время доставка между клиентами доступна для следующих конечных точек: служебная шина разделах и очередях, центрах событий и очередях хранилища.

Создание раздела с удостоверением, назначаемого пользователем (клиент A)

Создайте удостоверение, назначаемое пользователем, следуя инструкциям в статье Администрирование управляемых удостоверений, назначаемых пользователем. Затем включите управляемое удостоверение, назначаемое пользователем, при создании раздела или обновлении существующего раздела, выполнив действия, описанные в следующей процедуре.

Включение назначаемого пользователем удостоверения для нового раздела

1. На странице Безопасность в мастере создания раздела или домена установите флажок Добавить удостоверение, назначаемое пользователем.

2. В окне выбора назначаемого пользователем удостоверения выберите подписку, назначаемую пользователем, выберите удостоверение, назначаемое пользователем, и нажмите кнопку "Выбрать".

   

Включение назначаемого пользователем удостоверения для существующего раздела

1. На странице Удостоверение перейдите на вкладку User assigned (Назначаемые пользователем) в области справа, а затем на панели инструментов выберите + Добавить.

   

2. В окне Add user managed identity (Добавление управляемого удостоверения пользователя) выполните следующие действия.

   1. Выберите подписку Azure с удостоверением, назначаемым пользователем.
   2. Выберите удостоверение, назначаемое пользователем.
   3. Выберите Добавить.

3. Обновите список на вкладке User assigned (Назначаемые пользователем), чтобы увидеть удостоверение, назначаемое пользователем.

Дополнительные сведения см. в следующих статьях:

• Включение назначаемого пользователем удостоверения для системного раздела
• Включение назначаемого пользователем удостоверения для пользовательского раздела или домена

Создание мультитенантного приложения

1. Создайте приложение Microsoft Entra и обновите регистрацию, чтобы она была мультитенантной. Дополнительные сведения см. в разделе "Включение мультитенантной регистрации".

   

2. Создайте связь учетных данных федеративного удостоверения между мультитенантным приложением и удостоверением, назначенным пользователем, разделу "Сетка событий" с помощью API Graph.

   

   • В URL-адресе используйте идентификатор объекта мультитенантного приложения.
   • Для имени укажите уникальное имя федеративных учетных данных клиента.
   • Для издателя используйте https://login.microsoftonline.com/TENANTID/v2.0 TENANTID идентификатор клиента, где находится удостоверение, назначаемое пользователем.
   • Для темы укажите идентификатор клиента назначаемого пользователем удостоверения.

   Проверьте и дождитесь успешного вызова API.

3. После успешного вызова API перейдите к проверке правильности настройки федеративных учетных данных клиента в мультитенантном приложении.

   

   Примечание.

   Идентификатор субъекта — это идентификатор клиента удостоверения, назначаемого пользователем, в разделе.

Создание целевой учетной записи хранения (клиент B)

Создайте учетную запись хранения в клиенте, который отличается от клиента, имеющего исходный раздел сетки событий и удостоверение, назначаемое пользователем. Вы создадите подписку на событие в разделе (в клиенте A) с помощью учетной записи хранения (в клиенте B) позже.

1. Создайте учетную запись хранения, следуя инструкциям из статьи "Создание учетной записи хранения".

2. С помощью страницы контроль доступа (IAM) добавьте мультитенантное приложение в соответствующую роль, чтобы приложение могли отправлять события в учетную запись хранения. Например, участник учетной записи хранения, участник данных очереди хранилища, отправитель сообщений очередей хранилища. Инструкции см. в статье "Назначение роли Azure для очереди Azure".

   

Включение доставки между клиентами и настройка конечной точки

Создайте подписку на события в разделе с федеративными учетными данными клиента, передаваемыми для доставки в целевую учетную запись хранения.

1. При создании подписки на события включите доставку между клиентами и выберите " Настроить конечную точку".

   

2. На странице "Конечная точка" укажите идентификатор подписки, группу ресурсов, имя учетной записи хранения и имя очереди в клиенте B.

   

3. Теперь в разделе "Управляемое удостоверение для доставки " выполните следующие действия:

   1. Для типа управляемого удостоверения выберите "Назначенный пользователем".

   2. Выберите удостоверение, назначаемое пользователем, в раскрывающемся списке.

   3. Для учетных данных федеративного удостоверения введите идентификатор мультитенантного приложения.

      

4. Нажмите кнопку "Создать " в нижней части страницы, чтобы создать подписку на события.

   Теперь опубликуйте событие в разделе и убедитесь, что событие успешно доставлено в целевую учетную запись хранения.