Udostępnij przez

Dostarczanie zdarzeń między dzierżawami przy użyciu tożsamości zarządzanej

Ten artykuł zawiera informacje na temat dostarczania zdarzeń, w których podstawowe zasoby usługi Azure Event Grid, takie jak tematy, domeny, tematy systemowe i tematy partnerskie znajdują się w jednej dzierżawie, a zasób docelowy platformy Azure znajduje się w innej dzierżawie.

Obsługiwane miejsca docelowe i poziomy

Poniższa tabela zawiera informacje o tym, czy dostarczanie pomiędzy dzierżawami do obsługiwanego celu jest dostępne w konkretnej warstwie (podstawowej lub standardowej) oraz czy jest ogólnie dostępne (GA) lub w publicznej wersji zapoznawczej.

Destynacja Poziom Podstawowy Warstwa standardowa (Przestrzenie nazw)
Centra zdarzeń Ogólnie dostępne Publiczna wersja zapoznawcza
Service Bus (tematy) Ogólnie dostępne NIE
Service Bus (kolejki) Ogólnie dostępne NIE
Kolejki przechowywania Ogólnie dostępne NIE
Webhooki Publiczna wersja zapoznawcza Publiczna wersja zapoznawcza
Tematy przestrzeni nazw Publiczna wersja zapoznawcza NIE
Blob Storage (magazyn utraconych listów) Ogólnie dostępne Publiczna wersja zapoznawcza

W poniższych sekcjach pokazano, jak zaimplementować przykładowy scenariusz, w którym temat usługi Azure Event Grid z tożsamością przypisaną przez użytkownika jako poświadczenie federacyjne dostarcza zdarzenia do miejsca docelowego kolejki usługi Azure Storage hostowanego w innej dzierżawie. Poniżej przedstawiono ogólne kroki:

  1. Utwórz temat usługi Azure Event Grid z tożsamością zarządzaną przypisaną przez użytkownika w dzierżawie A.
  2. Utwórz aplikację wielodostępną z poświadczeniami klienta federacyjnego.
  3. Utwórz miejsce docelowe kolejki usługi Azure Storage w dzierżawie B.
  4. Podczas tworzenia subskrypcji zdarzeń do tematu włącz dostarczanie między dzierżawami i skonfiguruj punkt końcowy.

Tworzenie tematu z tożsamością przypisaną przez użytkownika (dzierżawa A)

Utwórz tożsamość przypisaną przez użytkownika, postępując zgodnie z instrukcjami w artykule Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika. Następnie włącz tożsamość zarządzaną przypisaną przez użytkownika podczas tworzenia tematu lub aktualizowania istniejącego tematu, wykonując kroki opisane w poniższej procedurze.

Włączanie tożsamości przypisanej przez użytkownika dla nowego tematu

  1. Na stronie Zabezpieczenia kreatora tworzenia tematu lub domeny wybierz pozycję Dodaj tożsamość przypisaną przez użytkownika.

  2. W oknie Wybieranie tożsamości przypisanej przez użytkownika wybierz subskrypcję z tożsamością przypisaną przez użytkownika, wybierz tożsamość przypisaną przez użytkownika, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający wybraną opcję Włącz tożsamość przypisaną przez użytkownika.

Włączanie tożsamości przypisanej przez użytkownika dla istniejącego tematu

  1. Na stronie Tożsamość przejdź do karty Przypisane przez użytkownika w okienku po prawej stronie, a następnie wybierz pozycję + Dodaj na pasku narzędzi.

    Zrzut ekranu przedstawiający kartę Tożsamość przypisana przez użytkownika.

  2. W oknie Dodawanie tożsamości zarządzanej użytkownika wykonaj następujące kroki:

    1. Wybierz subskrypcję platformy Azure, która ma tożsamość przypisaną przez użytkownika.
    2. Wybierz tożsamość przypisaną przez użytkownika.
    3. Wybierz Dodaj.

  3. Odśwież listę na karcie Przypisane przez użytkownika, aby wyświetlić dodaną tożsamość przypisaną przez użytkownika.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Tworzenie aplikacji wielodostępnej

  1. Utwórz aplikację Microsoft Entra i zaktualizuj rejestrację tak, aby był wielodostępny. Aby uzyskać szczegółowe informacje, zobacz Włączanie rejestracji wielodostępnych.

    Zrzut ekranu przedstawiający ustawienie uwierzytelniania aplikacji Microsoft Entra ustawione na Wielodostępne.

  2. Utwórz relację poświadczeń tożsamości federacyjnej między aplikacją wielodostępną i tożsamością przypisaną przez użytkownika tematu usługi Event Grid przy użyciu interfejsu API programu Graph.

    Zrzut ekranu przedstawiający przykładową metodę POST umożliwiającą włączenie relacji poświadczeń tożsamości federacyjnej między wielodostępną aplikacją i tożsamością przypisaną przez użytkownika.

    • W adresie URL użyj identyfikatora obiektu aplikacji wielodostępnych.
    • W polu Nazwa podaj unikatową nazwę poświadczeń klienta federacyjnego.
    • W polu Wystawca użyj https://login.microsoftonline.com/TENANTID/v2.0 identyfikatora TENANTID dzierżawy, w której znajduje się tożsamość przypisana przez użytkownika.
    • W polu Temat określ identyfikator klienta tożsamości przypisanej przez użytkownika.

    Sprawdź i poczekaj na pomyślne wywołanie interfejsu API.

  3. Po pomyślnym wywołaniu interfejsu API przejdź do sprawdzenia, czy poświadczenie klienta federacyjnego jest poprawnie skonfigurowane w aplikacji wielodostępne.

    Zrzut ekranu przedstawiający stronę certyfikatów i wpisów tajnych aplikacji wielodostępnej.

    Uwaga

    Identyfikator podmiotu jest identyfikatorem klienta tożsamości przypisanej przez użytkownika w temacie.

Tworzenie docelowego konta magazynu (dzierżawa B)

Utwórz konto magazynu w dzierżawie, która różni się od dzierżawy, która ma źródłowy temat usługi Event Grid i tożsamość przypisaną przez użytkownika. Subskrypcja zdarzeń jest tworzona w temacie (w dzierżawie A) przy użyciu konta magazynu (w dzierżawie B) później.

  1. Utwórz konto magazynu, postępując zgodnie z instrukcjami z artykułu Tworzenie konta magazynu.

  2. Korzystając ze strony Kontrola dostępu (IAM ), dodaj aplikację wielodostępną do odpowiedniej roli, aby aplikacja mogła wysyłać zdarzenia do konta magazynu. Na przykład: Współautor konta magazynu, Współautor danych kolejki magazynu, Nadawca komunikatu o danych kolejki magazynu. Aby uzyskać instrukcje, zobacz Przypisywanie roli platformy Azure dla kolejki platformy Azure.

    Zrzut ekranu przedstawiający stronę Kontrola dostępu (IAM) dla konta magazynu.

Włączanie dostarczania między dzierżawami i konfigurowanie punktu końcowego

Utwórz subskrypcję zdarzeń w temacie z przekazanymi informacjami o poświadczeniach klienta federacyjnego w celu dostarczenia do docelowego konta magazynu.

  1. Podczas tworzenia subskrypcji zdarzeń włącz dostarczanie między dzierżawami i wybierz pozycję Konfiguruj punkt końcowy.

    Zrzut ekranu przedstawiający stronę Tworzenie subskrypcji zdarzeń z włączoną opcją dostarczania między dzierżawami.

  2. Na stronie Punkt końcowy określ identyfikator subskrypcji, grupę zasobów, nazwę konta magazynu i nazwę kolejki w dzierżawie B.

    Zrzut ekranu przedstawiający stronę Punkt końcowy.

  3. Teraz w sekcji Tożsamość zarządzana dla dostarczania wykonaj następujące kroki:

    1. W polu Typ tożsamości zarządzanej wybierz pozycję Przypisano użytkownika.

    2. Wybierz tożsamość przypisaną przez użytkownika z listy rozwijanej.

    3. W obszarze Poświadczenia tożsamości federacyjnej wprowadź wielodostępny identyfikator aplikacji.

      Zrzut ekranu przedstawiający stronę Tworzenie subskrypcji zdarzeń z określoną tożsamością zarządzaną.

  4. Wybierz pozycję Utwórz w dolnej części strony, aby utworzyć subskrypcję zdarzeń.

    Teraz opublikuj zdarzenie w temacie i sprawdź, czy zdarzenie zostało pomyślnie dostarczone do docelowego konta magazynu.

  • Last updated on