Autorizar o acesso aos Hubs de Eventos do Azure
Sempre que você publica ou consome eventos de um hub de eventos, seu cliente está tentando acessar os recursos dos Hubs de Eventos. Cada solicitação para um recurso seguro deve ser autorizada para que o serviço possa garantir que o cliente tenha as permissões necessárias para publicar ou consumir os dados.
Os Hubs de Eventos do Azure oferecem as seguintes opções para autorizar o acesso a recursos seguros:
- Microsoft Entra ID
- Assinatura de acesso partilhado
Nota
Este artigo aplica-se aos cenários de Hubs de Eventos e Apache Kafka .
Microsoft Entra ID
A integração do Microsoft Entra com recursos de Hubs de Eventos fornece controle de acesso baseado em função (RBAC) do Azure para controle refinado sobre o acesso de um cliente aos recursos. Você pode usar o RBAC do Azure para conceder permissões à entidade de segurança, que pode ser um usuário, um grupo ou uma entidade de serviço de aplicativo. O Microsoft Entra autentica a entidade de segurança e retorna um token OAuth 2.0. O token pode ser usado para autorizar uma solicitação para acessar um recurso de Hubs de Eventos.
Para obter mais informações sobre como autenticar com o Microsoft Entra ID, consulte os seguintes artigos:
- Autenticar solicitações para Hubs de Eventos do Azure usando a ID do Microsoft Entra
- Autorize o acesso aos recursos dos Hubs de Eventos usando a ID do Microsoft Entra.
Assinaturas de acesso compartilhado
As assinaturas de acesso compartilhado (SAS) para recursos de Hubs de Eventos fornecem acesso delegado limitado aos recursos de Hubs de Eventos. Adicionar restrições no intervalo de tempo para o qual a assinatura é válida ou nas permissões concedidas fornece flexibilidade no gerenciamento de recursos. Para obter mais informações, consulte Autenticar usando assinaturas de acesso compartilhado (SAS).
Autorizar usuários ou aplicativos usando um token OAuth 2.0 retornado pelo Microsoft Entra ID oferece segurança superior e facilidade de uso em relação às assinaturas de acesso compartilhado (SAS). Com o Microsoft Entra ID, não há necessidade de armazenar os tokens de acesso com seu código e arriscar possíveis vulnerabilidades de segurança. Embora você possa continuar a usar assinaturas de acesso compartilhado (SAS) para conceder acesso refinado aos recursos dos Hubs de Eventos, o Microsoft Entra ID oferece recursos semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar em revogar um SAS comprometido.
Por padrão, todos os recursos dos Hubs de Eventos são protegidos e estão disponíveis apenas para o proprietário da conta. Embora você possa usar qualquer uma das estratégias de autorização descritas acima para conceder aos clientes acesso aos recursos dos Hubs de Eventos. A Microsoft recomenda o uso do Microsoft Entra ID quando possível para máxima segurança e facilidade de uso.
Para obter mais informações sobre autorização usando SAS, consulte Autorizando acesso a recursos de Hubs de Eventos usando assinaturas de acesso compartilhado.
Próximos passos
- Analise os exemplos de RBAC do Azure publicados em nosso repositório GitHub.
- Veja os seguintes artigos:
- Autenticar solicitações para Hubs de Eventos do Azure a partir de um aplicativo usando a ID do Microsoft Entra
- Autenticar uma identidade gerenciada com o Microsoft Entra ID para acessar recursos de Hubs de Eventos
- Autenticar solicitações para Hubs de Eventos do Azure usando Assinaturas de Acesso Compartilhado
- Autorizar o acesso aos recursos dos Hubs de Eventos utilizando o Microsoft Entra ID
- Autorizar o acesso aos recursos dos Hubs de Eventos usando Assinaturas de Acesso Compartilhado