Авторизация доступа к службе "Центры событий Azure"

Каждый раз, когда вы публикуете события в концентраторе событий или потребляете события, клиент пытается получить доступ к ресурсам Центров событий. Каждый запрос к защищенному ресурсу должен быть авторизован, чтобы служба удостовериться, что у клиента есть необходимые разрешения на публикацию или использование данных.

Центры событий Azure предлагают следующие варианты авторизации доступа к защищенным ресурсам:

• Microsoft Entra ID
• Подписанный URL-адрес

Примечание.

Эта статья относится как к Центрам событий, так и к сценариям Apache Kafka.

Microsoft Entra ID

Интеграция Microsoft Entra с ресурсами Центров событий обеспечивает управление доступом на основе ролей Azure (RBAC) для точного контроля доступа клиента к ресурсам. Вы можете использовать Azure RBAC для предоставления разрешений субъекту безопасности, который может быть пользователем, группой или субъектом службы приложения. Microsoft Entra проверяет подлинность субъекта безопасности и возвращает маркер OAuth 2.0. Маркер можно использовать для авторизации запроса на доступ к ресурсу Центров событий.

Дополнительные сведения о проверке подлинности с помощью идентификатора Microsoft Entra см. в следующих статьях:

• Проверка подлинности запросов на Центры событий Azure с помощью идентификатора Microsoft Entra
• Авторизация доступа к ресурсам Центров событий с помощью идентификатора Microsoft Entra.

Подписанные URL-адреса

Подписи общего доступа (SAS) для ресурсов Центров событий обеспечивают ограниченный делегированный доступ к ресурсам Центров событий. Добавление ограничений на временной интервал, в течение которого подпись действительна, или на разрешения, которые она предоставляет, обеспечивает гибкость в управлении ресурсами. Дополнительные сведения см. в разделе Проверка подлинности с использованием подписей общего доступа (SAS).

Авторизация пользователей или приложений с помощью маркера OAuth 2.0, возвращаемого идентификатором Microsoft Entra, обеспечивает более высокую безопасность и удобство использования по подписанным URL-адресам (SAS). С идентификатором Microsoft Entra не требуется хранить маркеры доступа с кодом и потенциальными уязвимостями безопасности. Хотя вы можете продолжать использовать подписанные URL-адреса (SAS) для предоставления точного доступа к ресурсам Центров событий, идентификатор Microsoft Entra ID предлагает аналогичные возможности без необходимости управлять маркерами SAS или беспокоиться о отмене скомпрометированного SAS.

По умолчанию все ресурсы Центров событий защищены и доступны только владельцу учетной записи. Хотя вы можете использовать любую из стратегий авторизации, описанных выше, для предоставления клиентам доступа к ресурсам Центров событий. Корпорация Майкрософт рекомендует использовать идентификатор Microsoft Entra, если это возможно для максимальной безопасности и простоты использования.

Дополнительные сведения об авторизации с помощью SAS см. в разделе Авторизация доступа к ресурсам Центров событий с помощью подписей общего доступа.

Следующие шаги

• Просмотрите Образцы Azure RBAC, опубликованные в нашем репозитории GitHub.
• См. следующие статьи:
  • Проверка подлинности запросов на Центры событий Azure из приложения с помощью идентификатора Microsoft Entra
  • Проверка подлинности управляемого удостоверения с помощью идентификатора Microsoft Entra для доступа к ресурсам Центров событий
  • Проверка подлинности запросов к Центрам событий Azure с помощью подписей общего доступа
  • Авторизация доступа к ресурсам Центров событий с помощью Microsoft Entra ID
  • Авторизация доступа к ресурсам Центров событий с помощью подписанных URL-адресов