Проверка подлинности для доставки событий в обработчики событий (Сетка событий Azure)
Эта статья содержит сведения о проверке подлинности для доставки событий в обработчики событий.
Обзор
Служба "Сетка событий Azure" использует разные способы проверки подлинности для доставки событий обработчикам событий. `
| Authentication method | Поддерживаемые обработчики событий | Description |
|---|---|---|
| Ключ доступа | — Центры событий - служебная шина — очереди хранилища — гибридные подключения ретранслятора – Функции Azure; — Blob-объекты хранилища (Deadletter) |
Ключи доступа извлекаются с помощью учетных данных субъекта-службы Сетки событий. Службе "Сетка событий" предоставляются разрешения при регистрации поставщика ресурсов Сетки событий в своей подписке Azure. |
| Управляемое системное удостоверение & Управление доступом на основе ролей |
— Центры событий - служебная шина — очереди хранилища — Blob-объекты хранилища (Deadletter) |
Включите управляемое удостоверение системы для раздела и добавьте его в соответствующую роль в назначении. Дополнительные сведения см. в разделе Использование назначенных системой удостоверений для доставки событий. |
| Проверка подлинности маркера носителя с помощью защищенного веб-перехватчика Microsoft Entra | Веб-перехватчик | Дополнительные сведения см. в разделе "Доставка событий проверки подлинности в конечные точки веб-перехватчика". |
| Использование секрета клиента в качестве параметра запроса | Веб-перехватчик | Дополнительные сведения см. в разделе Использование секрета клиента в качестве параметра запроса. |
Примечание.
Если вы защищаете функцию Azure с помощью приложения Microsoft Entra, вам придется использовать универсальный подход веб-перехватчика с помощью триггера HTTP. Укажите конечную точку функции Azure в качестве URL-адреса веб-перехватчика при добавлении подписки.
Использование назначенных системой удостоверений для доставки событий
Вы можете включить управляемое удостоверение, назначаемое системой, для раздела или домена и использовать это удостоверение для пересылки событий в поддерживаемые назначения, такие как очереди и разделы служебной шины, концентраторы событий и учетные записи хранения.
Ниже приведены шаги.
- Создайте раздел или домен с назначаемым системой удостоверением либо измените существующий раздел или домен, чтобы включить удостоверение. Дополнительные сведения см. в статье Включение управляемого удостоверения для системной темы или Включение управляемого удостоверения для пользовательской темы или домена.
- Добавьте удостоверение к соответствующей роли (например, "Отправитель данных служебной шины") в назначении (например, в очереди служебной шины). Дополнительные сведения см. в статье Предоставление удостоверению доступа к назначению "Сетка событий".
- При создании подписок на события включите использование удостоверения для доставки событий в назначение. Дополнительные сведения см. в статье Создание подписки на событие, использующей удостоверение.
Подробные пошаговые инструкции см. в статье Доставка событий с помощью управляемого удостоверения.
Проверка подлинности для доставки событий в конечные точки веб-перехватчика
В следующих разделах описана проверка подлинности для доставки событий в конечные точки веб-перехватчика. Используйте механизм подтверждения для проверки независимо от используемого метода. Дополнительные сведения см. в статье Доставка событий веб-перехватчика.
Использование идентификатора Microsoft Entra
Вы можете защитить конечную точку веб-перехватчика, которая используется для получения событий из сетки событий с помощью идентификатора Microsoft Entra. Необходимо создать приложение Microsoft Entra, создать роль и субъект-службу в приложении, авторизации сетки событий и настроить подписку на событие для использования приложения Microsoft Entra. Узнайте, как настроить идентификатор Microsoft Entra с помощью сетки событий.
Использование секрета клиента в качестве параметра запроса
Защитить конечную точку веб-перехватчика можно также путем добавления параметров запроса для URL-адреса назначения веб-перехватчика, указанного в рамках создания подписки на события. Задайте один из параметров запроса в качестве секрета клиента, например маркер доступа или общий секрет. Служба "Сетка событий" включает все параметры запроса в каждом запросе на доставку событий в веб-перехватчик. Служба веб-перехватчика может извлекать и проверять секрет. Если секрет клиента обновлен, необходимо также обновить подписку на события. Чтобы избежать ошибок доставки во время этой смены секрета, сделайте так, чтобы веб-перехватчик принимал как старые, так и новые секреты в течение ограниченного периода, прежде чем обновлять подписку на события с новым секретом.
Так как параметры запроса могут содержать секреты клиента, они обрабатываются с дополнительной осторожностью. Они хранятся как зашифрованные и недоступны для операторов служб. Они не регистрируются как часть журналов и трассировок службы. При получении свойств подписки на события параметры запроса назначения не возвращаются по умолчанию. Например: параметр --include-full-endpoint-url используется в Azure CLI.
Дополнительные сведения о доставке событий в веб-перехватчики см. в этой статье.
Внимание
Служба "Сетка событий Azure" поддерживает только конечные точки веб-перехватчиков HTTPS.
Проверка конечной точки с помощью CloudEvents версии 1.0
Если вы уже знакомы со службой "Сетка событий", то, возможно, знаете о проверке конечной точки для предотвращения нарушений. CloudEvents версии 1.0 реализует собственную семантику защиты от нарушений с помощью метода HTTP OPTIONS. Дополнительные сведения см. в статье Веб-перехватчики HTTP 1.1 для доставки событий – версия 1.0. При использовании схемы CloudEvents для вывода служба "Сетка событий" используется с защитой CloudEvents версии 1.0 вместо механизма событий проверки Сетки событий. Дополнительные сведения см. в статье Использование схемы CloudEvents версии 1.0 со службой "Сетка событий".
Следующие шаги
Дополнительные сведения о проверке подлинности клиентов при публикации событий в разделах или доменах см. в статье Проверка подлинности клиентов при публикации.