Dela via

Händelseleverans mellan klientorganisationer med hjälp av en hanterad identitet

  • Artikel

Den här artikeln innehåller information om leverans av händelser där Grundläggande resurser i Azure Event Grid, till exempel ämnen, domäner, systemämnen och partnerämnen finns i en klientorganisation och Azure-målresursen finns i en annan klientorganisation.

Följande avsnitt visar hur du implementerar ett exempelscenario där ett Azure Event Grid-ämne med en användartilldelad identitet som federerad autentiseringsuppgift levererar händelser till ett Azure Storage Queue-mål som finns i en annan klientorganisation. Här är de övergripande stegen:

  1. Skapa ett Azure Event Grid-ämne med en användartilldelad hanterad identitet i klient A.
  2. Skapa en app för flera klienter med federerade klientautentiseringsuppgifter.
  3. Skapa ett Azure Storage Queue-mål i klient B.
  4. När du skapar en händelseprenumeration i ämnet aktiverar du leverans mellan klientorganisationer och konfigurerar en slutpunkt.

Kommentar

  • Den här funktionen finns i förhandsgranskning.
  • Leverans mellan klientorganisationer är för närvarande tillgänglig för följande slutpunkter: Service Bus-ämnen och köer, Händelsehubbar och Lagringsköer.

Skapa ett ämne med en användartilldelad identitet (klient A)

Skapa en användartilldelad identitet genom att följa anvisningarna i artikeln Hantera användartilldelade hanterade identiteter . Aktivera sedan en användartilldelad hanterad identitet när du skapar ett ämne eller uppdaterar ett befintligt ämne med hjälp av stegen i följande procedur.

Aktivera användartilldelad identitet för ett nytt ämne

  1. På sidan Säkerhet i guiden för att skapa en domän väljer du Lägg till användartilldelad identitet.

  2. I fönstret Välj användartilldelad identitet väljer du den prenumeration som har den användartilldelade identiteten, väljer den användartilldelade identiteten och väljer sedan Välj.

    Skärmbild som visar alternativet Aktivera användartilldelad identitet valt.

Aktivera användartilldelad identitet för ett befintligt ämne

  1. På sidan Identitet växlar du till fliken Användartilldelad i den högra rutan och väljer sedan + Lägg till i verktygsfältet.

    Skärmbild som visar fliken Användartilldelad identitet.

  2. Följ dessa steg i fönstret Lägg till användarhanterad identitet :

    1. Välj den Azure-prenumeration som har den användartilldelade identiteten.
    2. Välj den användartilldelade identiteten.
    3. Markera Lägga till.

  3. Uppdatera listan på fliken Användartilldelad för att se den tillagda användartilldelade identiteten.

Mer information finns i följande artiklar:

Skapa ett program för flera klientorganisationer

  1. Skapa en Microsoft Entra-app och uppdatera registreringen så att den blir multitenant. Mer information finns i Aktivera registrering för flera klientorganisationer.

    Skärmbild som visar inställningen För Microsoft Entra-appautentisering inställd på Multitenant.

  2. Skapa den federerade identitetsautentiseringsrelationen mellan appen multitenant och den användartilldelade identiteten för Event Grid-ämnet med hjälp av Graph API.

    Skärmbild som visar POST-exempelmetoden för att aktivera federerad identitetsautentiseringsrelation mellan app med flera klientorganisationer och användartilldelad identitet.

    • I URL:en använder du objekt-ID:t för flera klientappar.
    • Som Namn anger du ett unikt namn för den federerade klientautentiseringsuppgiften.
    • För Utfärdare använder du https://login.microsoftonline.com/TENANTID/v2.0 var TENANTID är ID:t för klientorganisationen där den användartilldelade identiteten finns.
    • För Ämne anger du klient-ID för den användartilldelade identiteten.

    Verifiera och vänta tills API-anropet lyckas.

  3. När API-anropet har slutförts kontrollerar du att den federerade klientautentiseringsuppgiften har konfigurerats korrekt i appen för flera klienter.

    Skärmbild som visar sidan med certifikat och hemligheter i appen för flera klientorganisationer.

    Kommentar

    Ämnesidentifieraren är klient-ID för den användartilldelade identiteten i ämnet.

Skapa mållagringskonto (klient B)

Skapa ett lagringskonto i en klientorganisation som skiljer sig från klientorganisationen som har event grid-källavsnittet och användartilldelad identitet. Du skapar en händelseprenumeration till ämnet (i klient A) med lagringskontot (i klient B) senare.

  1. Skapa ett lagringskonto genom att följa anvisningarna i artikeln Skapa ett lagringskonto .

  2. Med hjälp av sidan Åtkomstkontroll (IAM) lägger du till appen för flera klientorganisationer i lämplig roll så att appen kan skicka händelser till lagringskontot. Till exempel: Storage Account Contributor, Storage Queue Data Contributor, Storage Queue Data Message Sender. Anvisningar finns i Tilldela en Azure-roll för en Azure-kö.

    Skärmbild som visar sidan Åtkomstkontroll (IAM) för lagringskontot.

Aktivera leverans mellan klientorganisationer och konfigurera slutpunkten

Skapa en händelseprenumeration i ämnet med federerad information om klientautentiseringsuppgifter som skickas för att leverera till mållagringskontot.

  1. När du skapar en händelseprenumeration aktiverar du leverans mellan klientorganisationer och väljer Konfigurera en slutpunkt.

    Skärmbild som visar sidan Skapa händelseprenumeration med alternativet Leverans mellan klientorganisationer aktiverat.

  2. På sidan Slutpunkt anger du prenumerations-ID, resursgrupp, lagringskontonamn och könamnet i Klient B.

    Skärmbild som visar sidan Slutpunkt.

  3. Gör nu följande i avsnittet Hanterad identitet för leverans :

    1. För Hanterad identitetstyp väljer du Användartilldelad.

    2. Välj den användartilldelade identiteten i listrutan.

    3. För autentiseringsuppgifter för federerad identitet anger du program-ID:t för flera klientorganisationer.

      Skärmbild som visar sidan Skapa händelseprenumeration med den hanterade identiteten angiven.

  4. Välj Skapa längst ned på sidan för att skapa händelseprenumerationen.

    Publicera nu händelsen för att ämnes- och verifiera att händelsen har levererats till mållagringskontot.