Autorizar o acesso aos Hubs de Eventos do Azure
Sempre que você publica ou consome eventos a partir de um hub de eventos, o cliente está tentando acessar os recursos dos Hubs de Eventos. Toda solicitação para um recurso seguro precisa ser autorizada para que o serviço possa garantir que o cliente tenha as permissões necessárias para publicar ou consumir os dados.
Os Hubs de Eventos do Azure oferecem as seguintes opções para autorizar o acesso a recursos seguros:
- ID do Microsoft Entra
- Assinatura de acesso compartilhado
Observação
Este artigo se aplica a cenários de Hubs de Eventos e Apache Kafka.
Microsoft Entra ID
A integração do Microsoft Entra aos recursos dos Hubs de Eventos fornece o controle de acesso baseado em função (RBAC) do Azure que permite um controle refinado sobre o acesso de um cliente aos recursos. Você pode usar o RBAC do Azure para conceder permissões à entidade de segurança, que pode ser um usuário, um grupo ou uma entidade de serviço de aplicativo. O Microsoft Entra autentica a entidade de segurança e retorna um token OAuth 2.0. O token pode ser usado para autorizar uma solicitação para acessar um recurso de Hubs de Eventos.
Para obter mais informações sobre a autenticação com o Microsoft Entra ID, confira os seguintes artigos:
- Autenticar solicitações nos Hubs de Eventos do Azure usando o Microsoft Entra ID
- Autorizar o acesso aos recursos dos Hubs de Eventos usando o Microsoft Entra ID.
Assinaturas de acesso compartilhado
As SAS (assinaturas de acesso compartilhado) para os recursos dos Hubs de Eventos dão acesso delegado limitado aos recursos dos Hubs de Eventos. Adicionar restrições no intervalo de tempo para o qual a assinatura é válida ou nas permissões concedidas fornecerá flexibilidade no gerenciamento de recursos. Para obter mais informações, confira Autenticação usando SAS (assinaturas de acesso compartilhado).
A autorização de usuários ou de aplicativos que usam um token OAuth 2.0 retornado pelo Microsoft Entra ID fornece segurança e facilidade de uso superiores em relação às SAS (assinaturas de acesso compartilhado). Com o Microsoft Entra ID, não é preciso armazenar os tokens de acesso com o código e ficar exposto a potenciais riscos de vulnerabilidades de segurança. Embora você possa continuar usando SAS (assinaturas de acesso compartilhado) para permitir acesso refinado aos recursos nos Hubs de Eventos, o Microsoft Entra ID oferece funcionalidades semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar com a revogação de uma SAS comprometida.
Por padrão, todos os recursos de Hubs de Eventos são protegidos e estão disponíveis apenas para o proprietário da conta. No entanto, você pode usar qualquer uma das estratégias de autorização descritas acima para permitir aos clientes acesso aos recursos do hub de eventos. A Microsoft recomenda usar o Microsoft Entra ID, quando possível, para proporcionar a máxima segurança e facilidade de uso.
Para obter mais informações sobre a autorização usando SAS, confira Como autorizar o acesso aos recursos de Hubs de Eventos usando Assinaturas de Acesso Compartilhado.
Próximas etapas
- Examine os exemplos do RBAC do Azure publicados em nosso repositório do GitHub.
- Veja os artigos a seguir:
- Autenticar solicitações nos Hubs de Eventos do Azure por meio de um aplicativo usando o Microsoft Entra ID
- Autenticar uma identidade gerenciada na ID do Microsoft Entra para acessar os Recursos dos Hubs de Eventos
- Autenticar solicitações para Hubs de Eventos do Azure usando Assinaturas de Acesso Compartilhado
- Autorizar o acesso aos recursos dos Hubs de Eventos usando o Microsoft Entra ID
- Autorizar o acesso aos recursos dos Hubs de Eventos usando Assinaturas de Acesso Compartilhado