Могу ли я подключить / настроить клиентский сертификат с помощью сетки событий Azure, передаваемой в конечную точку https?

Question

Сетка событий Azure позволяет конечной точке https (мой обработчик событий веб-перехватчика) регистрироваться у подписчика по теме. Поэтому, когда событие получено темой, соответствующей критериям фильтра подписки, событие передается сеткой событий в мою конечную точку https.

У меня есть случай использования, когда моей конечной точке https требуется предоставить клиентский сертификат с этим механизмом http push по сетке событий.

1. Разрешает ли сетка событий способ присоединения / настройки клиентского сертификата, связанного с конечной точкой https для подключения через Интернет? Если да, то как мне это настроить?
2. Если функциональность клиентского сертификата (для push-уведомлений) в настоящее время недоступна в сетке событий, какие еще более простые механизмы безопасности я могу использовать для предотвращения нежелательных и злонамеренных событий, выдвигаемых издателями не-событийных сеток? (Кроме правил брандмауэра, белый список IP-адресов и т. Д.)

Спасибо.

Answer 1

Оба ответа Романа должны работать довольно хорошо. В зависимости от ваших конкретных ограничений и пропускной способности, третьим вариантом будет использование гибридных подключений в качестве посредника.

Для этого потребуется добавить немного кода в конечную точку обработки событий, чтобы открыть соединение WebSocket с гибридными подключениями, а затем направить события из сетки событий в гибридные подключения.

Это должно позволить вам полностью обойти проблему с сертификатом клиента и обеспечить высокую пропускную способность. Недостатком является добавление некоторого клиентского кода для открытия WebSocket. Лучшее решение для вас сильно зависит от ваших требований.

Ниже приведен пример использования гибридных подключений для маршрутизации событий , если вы выберете этот маршрут.

Answer 2

Для вашего сценария можно использовать функцию EventGridTrigger в качестве подписчика-интегратора для конечной точки вашего клиента. Эта функция будет обрабатывать пересылку сообщения о событии в зависимости от ваших потребностей.

Обновление: Другой вариант, использующий декларативную интеграцию для доставки сетки событий в конечную точку https с авторизацией сертификата клиента, заключается в подписке приложениями логики и последующей пересылке в пользовательскую конечную точку. Следующий фрагмент экрана показывает этот случай:

Обратите внимание, что таблица событий Azure поддерживает настройку конечной точки подписчика Webhook только по URL-адресу (включая строку запроса). Это задокументировано в https://docs.microsoft.com/en-us/azure/event-grid/security-authentication, как это было прокомментировано @KenWMSFT.