Autenticare il recapito di eventi ai gestori eventi (Griglia di eventi di Azure)
Questo articolo fornisce informazioni sull'autenticazione del recapito di eventi ai gestori eventi.
Panoramica
Griglia di eventi di Azure usa metodi di autenticazione diversi per recapitare eventi ai gestori eventi. `
| Authentication method | Gestori eventi supportati | Descrizione |
|---|---|---|
| Chiave di accesso | - Hub eventi - Bus di servizio - Code di archiviazione - Connessioni ibride di inoltro - Funzioni di Azure - BLOB di archiviazione (inserimento nella coda di messaggi non recapitabili) |
Le chiavi di accesso vengono recuperate usando le credenziali dell'entità servizio di Griglia di eventi. Le autorizzazioni vengono concesse a Griglia di eventi quando si registra il provider di risorse di Griglia di eventi nella sottoscrizione di Azure. |
| Identità del sistema gestito e Controllo degli accessi in base al ruolo |
- Hub eventi - Bus di servizio - Code di archiviazione - BLOB di archiviazione (inserimento nella coda di messaggi non recapitabili) |
Abilitare l'identità del sistema gestito per l'argomento e aggiungerla al ruolo appropriato nella destinazione. Per informazioni dettagliate, vedere Usare le identità assegnate dal sistema per il recapito di eventi. |
| Autenticazione con token di connessione con webhook protetto da Microsoft Entra | webhook | Per informazioni dettagliate, vedere la sezione Autenticare il recapito di eventi agli endpoint webhook. |
| Segreto client come parametro di query | webhook | Per informazioni dettagliate, vedere la sezione Uso del segreto client come parametro di query. |
Nota
Se si protegge la funzione di Azure con un'app Microsoft Entra, è necessario adottare l'approccio webhook generico usando il trigger HTTP. Usare l'endpoint della funzione di Azure come URL webhook quando si aggiunge la sottoscrizione.
Usare le identità assegnate dal sistema per il recapito di eventi
È possibile abilitare un'identità gestita assegnata dal sistema per un argomento o un dominio e usare l'identità per inoltrare eventi a destinazioni supportate, ad esempio code e argomenti del bus di servizio, hub eventi e account di archiviazione.
Di seguito sono riportati i passaggi:
- Creare un argomento o un dominio con un'identità assegnata dal sistema oppure aggiornare un argomento o un dominio esistente per abilitare l'identità. Per altre informazioni, vedere Abilitare l'identità gestita per un argomento di sistema o Abilitare l'identità gestita per un argomento personalizzato o un dominio
- Aggiungere l'identità a un ruolo appropriato (ad esempio, mittente dati del bus di servizio) nella destinazione (ad esempio, una coda del bus di servizio). Per altre informazioni, vedere Concedere all'identità l'accesso alla destinazione di Griglia di eventi
- Quando si creano sottoscrizioni di eventi, abilitare l'utilizzo dell'identità per recapitare gli eventi alla destinazione. Per altre informazioni, vedere Creare una sottoscrizione di eventi che usa l'identità.
Per istruzioni dettagliate, vedere Recapito di eventi con un'identità gestita.
Autenticare il recapito di eventi agli endpoint webhook
Le sezioni seguenti descrivono come autenticare il recapito di eventi agli endpoint webhook. Usare un meccanismo di handshake di convalida indipendentemente dal metodo usato. Per informazioni dettagliate, vedere Recapito eventi webhook.
Uso di Microsoft Entra ID
È possibile proteggere l'endpoint del webhook usato per ricevere eventi da Griglia di eventi usando Microsoft Entra ID. È necessario creare un'applicazione Microsoft Entra, creare un ruolo e un'entità servizio nell'applicazione che autorizza Griglia di eventi e configurare la sottoscrizione dell'evento per usare l'applicazione Microsoft Entra. Informazioni su come Configurare Microsoft Entra ID con Griglia di eventi.
Uso del segreto client come parametro di query
È possibile proteggere l'endpoint webhook aggiungendo i parametri di query all'URL di destinazione del webhook indicato come parte della creazione di una sottoscrizione di eventi. Impostare uno dei parametri di query in modo che sia un segreto client, ad esempio un token di accesso o un segreto condiviso. Il servizio Griglia di eventi includerà tutti questi parametri di query in ogni richiesta di recapito di eventi al webhook. Il servizio webhook può recuperare e convalidare il segreto. Se il segreto client viene aggiornato, è necessario aggiornare anche la sottoscrizione dell'evento. Per evitare errori di recapito durante questa rotazione del segreto, fare in modo che il webhook accetti sia i segreti vecchi che quelli nuovi per un periodo limitato prima di aggiornare la sottoscrizione con il nuovo segreto.
Poiché i parametri di query potrebbero contenere segreti client, vengono gestiti con maggiore attenzione. Vengono archiviati come crittografati e non sono accessibili agli operatori del servizio. Non vengono registrati in log/tracce del servizio. Quando si recuperano le proprietà della sottoscrizione di eventi, i parametri delle query di destinazione non vengono restituiti per impostazione predefinita. Ad esempio, il parametro --include-full-endpoint-URL deve essere usato nell'interfaccia della riga di comando di Azure.
Per altre informazioni su come recapitare gli eventi ai webhook, vedere Recapito eventi webhook.
Importante
Griglia di eventi di Azure supporta solo endpoint webhook HTTPS.
Convalida degli endpoint con CloudEvents v1.0
Se si ha già familiarità con Griglia di eventi, è possibile che si conosca l'handshake di convalida degli endpoint per evitare casi di uso improprio. CloudEvents v1.0 implementa la propria semantica di protezione dall'uso improprio tramite il metodo HTTP OPTIONS. Per altre informazioni, vedere Webhook HTTP 1.1 per il recapito di eventi - Versione 1.0. Quando si usa lo schema CloudEvents per l'output, Griglia di eventi usa la protezione dall'uso improprio di CloudEvents v1.0 al posto del meccanismo di eventi di convalida di Griglia di eventi. Per altre informazioni, vedere Usare lo schema CloudEvents v1.0 con Griglia di eventi.
Passaggi successivi
Vedere Autenticare i client di pubblicazione per informazioni sull'autenticazione dei client che pubblicano eventi in argomenti o domini.