使用受控識別的跨租使用者事件傳遞

本文提供傳遞事件的相關信息，其中 Azure 事件方格 主題、網域、系統主題和合作夥伴主題等基本資源位於一個租使用者中，而 Azure 目的地資源位於另一個租使用者中。

下列各節將說明如何實作範例案例，其中 Azure 事件方格 主題以使用者指派的身分識別作為同盟認證，將事件傳遞至另一個租用戶中裝載的 Azure 儲存體 佇列目的地。 高階步驟如下：

1. 在租使用者 A 中建立具有使用者指派受控識別的 Azure 事件方格 主題。
2. 使用同盟客戶端認證建立多租用戶應用程式。
3. 在租使用者 B 中建立 Azure 儲存體 佇列目的地。
4. 在建立主題的事件訂用帳戶時，啟用跨租用戶傳遞並設定端點。

注意

• 此功能目前為預覽功能。
• 跨租用戶傳遞目前適用於下列端點：服務匯流排 主題和佇列、事件中樞和記憶體佇列。

使用使用者指派的身分識別建立主題（租使用者 A）

依照管理使用者指派的受控識別一文中的指示，建立使用者指派的身分識別。 然後，使用下列程式中的步驟，在建立主題或更新現有主題時，啟用使用者指派的受控識別。

為新主題啟用使用者指派的身分識別

1. 在主題或網域建立精靈的 [進階] 頁面上，選取 [新增使用者指派的身分識別]。

2. 在 [ 選取使用者指派的身 分識別] 視窗中，選取具有使用者指派身分識別的訂用帳戶、選取 使用者指派的身分識別，然後選擇 [ 選取]。

   

為現有主題啟用使用者指派的身分識別

1. 在 [身分識別] 頁面上，切換至右窗格中的 [使用者指派] 索引標籤，然後選取工具列上的 [+ 新增]。

   

2. 在 [新增使用者受控識別] 視窗中，遵循下列步驟：

   1. 選取具有使用者指派身分識別的 Azure 訂用帳戶。
   2. 選取使用者指派的身分識別。
   3. 選取 [新增]。

3. 重新整理 [使用者指派] 索引標籤中的清單，以查看新增的使用者指派身分識別。

如需詳細資訊，請參閱下列文章：

• 啟用系統主題的使用者指派身分識別
• 為自定義主題或網域啟用使用者指派的身分識別

建立多租用戶應用程式

1. 建立Microsoft Entra 應用程式，並將註冊更新為多租使用者。 如需詳細資訊，請參閱 啟用多租用戶註冊。

   

2. 使用 Graph API 建立多租使用者應用程式與事件方格主題的使用者指派身分識別之間的同盟身分識別認證關聯性。

   

   • 在 URL 中，使用多租使用者應用程式物件識別碼。
   • 針對 [ 名稱]，提供同盟客戶端認證的唯一名稱。
   • 針對簽發 者，使用 https://login.microsoftonline.com/TENANTID/v2.0 where TENANTID 是使用者指派身分識別所在租用戶的標識碼。
   • 針對 [ 主體]，指定使用者指派身分識別的用戶端標識符。

   確認並等候 API 呼叫成功。

3. API 呼叫成功之後，請繼續確認多租使用者應用程式上已正確設定同盟客戶端認證。

   

   注意

   主體標識碼是主題上使用者指派身分識別的用戶端標識碼。

建立目的地記憶體帳戶 （租使用者 B）

在租使用者中建立記憶體帳戶，其與具有來源事件方格主題和使用者指派身分識別的租使用者不同。 您稍後會使用記憶體帳戶（在租使用者 B 中）建立主題的事件訂用帳戶（在租使用者 A 中）。

1. 依照建立記憶體帳戶一文中的 指示建立記憶體帳戶 。

2. 使用 [存取控制 （IAM） 頁面，將多租使用者應用程式新增至適當的角色，讓應用程式可以將事件傳送至記憶體帳戶。 例如：記憶體帳戶參與者、記憶體佇列數據參與者、記憶體佇列數據訊息發件者。 如需指示，請參閱 為 Azure 佇列指派 Azure 角色。

   

啟用跨租用戶傳遞並設定端點

使用傳遞至目的地記憶體帳戶的同盟客戶端認證資訊，在主題上建立事件訂用帳戶。

1. 建立事件訂用帳戶時，啟用 跨租用戶傳遞 ，然後選取 [ 設定端點]。

   

2. 在 [ 端點] 頁面上，指定租使用者 B 中的訂用帳戶標識碼、資源群組、記憶體帳戶名稱和佇列名稱。

   

3. 現在，在 [適用於傳遞的受控識別] 區段中，執行下列步驟：

   1. 針對 [受控識別類型]，選取 [ 使用者指派]。

   2. 從下拉式清單中選取使用者指派的身分識別。

   3. 針對 [ 同盟身分識別認證]，輸入多租使用者應用程式標識符。

      

4. 選取 頁面底部的 [建立 ] 以建立事件訂閱。

   現在，將事件發佈至主題，並確認事件已成功傳遞至目的地記憶體帳戶。