Entrega de eventos entre locatários usando uma identidade gerenciada

Esse artigo fornece informações sobre a entrega de eventos em que os recursos básicos da Grade de Eventos do Azure, como tópicos, domínios, tópicos do sistema e tópicos de parceiro, estão em um locatário e o recurso de destino do Azure está em outro locatário.

Destinos e camadas com suporte

A tabela a seguir fornece as informações sobre se a entrega entre locatários para um destino com suporte está disponível em uma camada (básica ou padrão) e está em GA (disponibilidade geral) ou em versão prévia pública.

As seções a seguir mostram como implementar um cenário de exemplo em que um tópico da Grade de Eventos do Azure com uma identidade atribuída pelo usuário como uma credencial federada entrega eventos para um destino de Fila de Armazenamento do Microsoft Azure hospedado em outro locatário. Aqui estão as etapas de alto nível:

1. Crie um tópico da Grade de Eventos do Azure com uma identidade gerenciada atribuída pelo usuário no Locatário A.
2. Crie um aplicativo multilocatário com uma credencial de cliente federado.
3. Crie um destino de Fila do Armazenamento do Microsoft Azure no Locatário B.
4. Ao criar uma assinatura de evento para o tópico, habilite a entrega entre locatários e configure um ponto de extremidade.

Criar um tópico com uma identidade atribuída pelo usuário (Locatário A)

Crie uma identidade atribuída ao usuário seguindo as instruções no artigo Gerenciar identidades gerenciadas e atribuídas ao usuário. Em seguida, habilite uma identidade gerenciada atribuída pelo usuário ao criar um tópico ou atualizar um tópico existente usando as etapas no procedimento a seguir.

Habilitar uma identidade atribuída pelo usuário para o novo tópico

1. Na página Segurança do tópico ou assistente de criação de domínio, selecione Adicionar identidade atribuída ao usuário.

2. Na janela Selecionar identidade atribuída pelo usuário, selecione a assinatura que tem a identidade atribuída pelo usuário, selecione a identidade atribuída pelo usuário e escolha Selecionar.

   

Habilitar uma identidade atribuída pelo usuário para um tópico existente

1. Na página Identidade, alterne para a guia Usuário atribuído no painel direito e selecione + Adicionar na barra de ferramentas.

   

2. Na janela Adicionar identidade gerenciada pelo usuário, siga estas etapas:

   1. Selecione a Assinatura do Azure que possui a identidade atribuída pelo usuário.
   2. Selecione a identidade atribuída pelo usuário.
   3. Selecione Adicionar.

3. Atualize a lista na guia Usuário atribuído para ver a identidade atribuída ao usuário adicionada.

Para obter mais informações, consulte os seguintes artigos:

• Habilitar a identidade atribuída pelo usuário para um tópico do sistema
• Habilitar a identidade atribuída pelo usuário para um tópico ou domínio personalizado

Criar um Aplicativo multilocatário

1. Crie um aplicativo do Microsoft Entra e atualize o registro para ser multilocatário. Para obter detalhes, consulte Habilitar registro multilocatário.

   

2. Crie a relação de credencial de identidade federada entre o aplicativo multilocatário e a identidade atribuída pelo usuário do tópico da Grade de Eventos usando a API do Graph.

   

   • Na URL, use a ID do objeto do aplicativo multilocatário.
   • Em Nome, forneça um nome exclusivo para a credencial do cliente federado.
   • Em Emissor, use https://login.microsoftonline.com/TENANTID/v2.0 em que TENANTID é a ID do locatário em que a identidade atribuída pelo usuário está localizada.
   • Em Entidade, especifique a ID do cliente da identidade atribuída pelo usuário.

   Verifique e aguarde o sucesso da chamada à API.

3. Depois que a chamada à API for bem-sucedida, prossiga para verificar se a credencial do cliente federado está configurada corretamente no aplicativo multilocatário.

   

   Observação

   O identificador da entidade é a ID do cliente da identidade atribuída pelo usuário no tópico.

Criar conta de armazenamento de destino (Locatário B)

Crie uma conta de armazenamento em um locatário diferente do locatário que tem a identidade atribuída pelo usuário e o tópico da Grade de Eventos de origem. Crie uma assinatura de evento para o tópico (no locatário A) usando a conta de armazenamento (no locatário B) posteriormente.

1. Crie uma conta de armazenamento seguindo as instruções do artigo Criar uma conta de armazenamento.

2. Usando a página Controle de Acesso (IAM), adicione o aplicativo multilocatário à função apropriada para que o aplicativo possa enviar eventos para a conta de armazenamento. Por exemplo: Colaborador da conta de armazenamento, Colaborador de dados da fila de armazenamento, Remetente de mensagens de dados da fila de armazenamento. Para obter instruções, consulte Atribuir uma função do Azure para uma fila do Azure.

   

Habilitar a entrega entre locatários e configurar o ponto de extremidade

Crie uma assinatura de evento no tópico com informações de credencial de cliente federado passadas para entregar à conta de armazenamento de destino.

1. Ao criar uma assinatura de evento, habilite a entrega entre locatários e selecione Configurar um ponto de extremidade.

   

2. Na página Ponto de extremidade, especifique a ID da assinatura, o grupo de recursos, o nome da conta de armazenamento e o nome da fila no Locatário B.

   

3. Agora, na seção Identidade Gerenciada para Entrega, execute estas etapas:

   1. Em Tipo de identidade gerenciada, selecione Atribuída pelo usuário.

   2. Selecione a identidade atribuída pelo usuário na lista suspensa.

   3. Em Credenciais de identidade federada, insira a ID do aplicativo multilocatário.

      

4. Selecione Criar na parte inferior da página para criar a assinatura do evento.

   Agora, publique o evento no tópico e verifique se o evento foi entregue com sucesso à conta de armazenamento de destino.