Verwenden von verwalteten Identitäten für den Zugriff auf Event Hubs aus einem Azure Stream Analytics-Auftrag

Azure Stream Analytics unterstützt die Authentifizierung über verwaltete Identitäten sowohl für Eingaben als auch für Ausgaben von Azure Event Hubs. Verwaltete Identitäten beseitigen die Einschränkungen benutzerbasierter Authentifizierungsmethoden, wie etwa die Notwendigkeit einer erneuten Authentifizierung aufgrund von Kennwortänderungen oder Benutzertoken, die alle 90 Tage ablaufen. Wenn Sie die Notwendigkeit einer manuellen Authentifizierung aufheben, können Ihre Stream Analytics-Bereitstellungen vollständig automatisiert werden. 

Bei einer verwalteten Identität handelt es sich um eine in Microsoft Entra ID registrierte verwaltete Anwendung, die einen bestimmten Stream Analytics-Auftrag repräsentiert. Die verwaltete Anwendung wird zur Authentifizierung bei einer Zielressource verwendet, beispielsweise Event Hubs hinter einer Firewall oder in einem virtuellen Netzwerk (VNet). Weitere Informationen zum Umgehen von Firewalls finden Sie unter Gewähren des Zugriffs auf Azure Event Hubs-Namespaces über private Endpunkte.

Dieser Artikel zeigt Ihnen, wie Sie verwaltete Identitäten für die Event Hubs-Eingabe oder -Ausgabe eines Stream Analytics-Auftrags über das Azure-Portal aktivieren. Bevor Sie eine verwaltete Identität aktivieren können, müssen Sie über einen Stream Analytics-Auftrag und eine Event Hubs-Ressource verfügen.

Erstellen einer verwalteten Identität

Erstellen Sie zuerst eine verwaltete Identität für den Azure Stream Analytics-Auftrag. 

  1. Öffnen Sie im Azure-Portal den Azure Stream Analytics-Auftrag. 

  2. Wählen Sie im linken Navigationsmenü unter Konfigurieren die Option Verwaltete Identität aus. Aktivieren Sie dann das Kontrollkästchen neben Systemseitig zugewiesene verwaltete Identität verwenden, und wählen Sie Speichern aus.

    Systemseitig zugewiesene verwaltete Identität

  3. Ein Dienstprinzipal für die Identität des Stream Analytics-Auftrags wird in Microsoft Entra ID erstellt. Der Lebenszyklus der neu erstellten Identität wird von Azure verwaltet. Wenn der Stream Analytics-Auftrag gelöscht wird, wird die zugeordnete Identität (also der Dienstprinzipal) von Azure automatisch ebenfalls gelöscht. 

    Wenn Sie die Konfiguration speichern, wird die Objekt-ID (OID) des Dienstprinzipals als Prinzipal-ID aufgeführt, wie hier gezeigt:

    Prinzipal-ID

    Der Dienstprinzipal weist den gleichen Namen auf wie der Stream Analytics-Auftrag. Wenn der Name des Auftrags z. B. MyASAJob lautet, erhält auch der Dienstprinzipal den Namen MyASAJob. 

Erteilen von Berechtigungen für den Stream Analytics-Auftrag zum Zugriff auf Event Hubs

Damit der Stream Analytics-Auftrag über eine verwaltete Identität auf Ihren Event Hub zugreifen kann, muss der von Ihnen erstellte Dienstprinzipal über spezielle Berechtigungen für den Event Hub verfügen.

  1. Wählen Sie Zugriffssteuerung (IAM) aus.

  2. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um die Seite Rollenzuweisung hinzufügen zu öffnen.

  3. Weisen Sie die folgende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

Hinweis

Wenn Sie Zugriff auf eine Ressource gewähren, sollten Sie den tiefsten benötigten Zugriff gewähren. Je nachdem, ob Sie Event Hubs als eine Eingabe oder Ausgabe konfigurieren, müssen Sie möglicherweise die Rolle „Azure Event Hubs-Datenbesitzer“ nicht zuweisen, die mehr als den benötigten Zugriff auf Ihre Eventhub-Ressource gewähren würde. Weitere Informationen finden Sie unter Authentifizieren einer Anwendung mit Microsoft Entra ID für den Zugriff auf Event Hubs-Ressourcen

Einstellung Wert
Role Azure Event Hubs-Datenbesitzer
Zugriff zuweisen zu Benutzer, Gruppe oder Dienstprinzipal
Member <Name Ihres Stream Analytics-Auftrags>

Screenshot: Seite „Rollenzuweisung hinzufügen“ im Azure-Portal

Sie können diese Rolle auch auf Ebene des Event Hubs-Namespace zuweisen, wodurch die Berechtigungen natürlich auf alle darunter erstellten Ereignis-Hubs weitergegeben werden. Das bedeutet, dass alle Event Hubs unter einem Namespace als Ressource für die Authentifizierung mit einer verwalteten Identität in Ihrem Stream Analytics-Auftrag verwendet werden können.

Hinweis

Aufgrund der globalen Replikations- oder Cachinglatenz kann es zu einer Verzögerung kommen, wenn Berechtigungen widerrufen oder erteilt werden. Änderungen sollten innerhalb von 8 Minuten widergespiegelt werden.

Erstellen einer Event Hubs-Eingabe oder -Ausgabe

Nachdem Ihre verwaltete Identität konfiguriert wurde, können Sie Ihrem Stream Analytics-Auftrag die Event Hub-Ressource als Eingabe oder Ausgabe hinzufügen. 

Hinzufügen von Event Hubs als Eingabe

  1. Wechseln Sie zum Stream Analytics-Auftrag, und navigieren Sie unter Auftragstopologie zur Seite Eingaben.

  2. Wählen Sie Datenstromeingabe hinzufügen > Event Hub aus. Suchen Sie im Fenster mit den Eingabeeigenschaften nach Ihrem Event Hub, und wählen Sie ihn aus. Wählen Sie dann im Dropdownmenü Authentifizierungsmodus die Option Verwaltete Identität aus.

  3. Geben Sie die restlichen Eigenschaften an, und klicken Sie auf Speichern.

Hinzufügen von Event Hubs als Ausgabe

  1. Wechseln Sie zum Stream Analytics-Auftrag, und navigieren Sie unter Auftragstopologie zur Seite Ausgaben.

  2. Wählen Sie Hinzufügen > Event Hub aus. Suchen Sie im Fenster mit den Ausgabeeigenschaften nach Ihrem Event Hub, und wählen Sie ihn aus. Wählen Sie anschließend im Dropdownmenü Authentifizierungsmodus die Option Verwaltete Identität aus.

  3. Geben Sie die restlichen Eigenschaften an, und klicken Sie auf Speichern.

Nächste Schritte