Autorizace přístupu k prostředkům Web PubSub pomocí Microsoft Entra ID

Článek
10/26/2023

Služba Azure Web PubSub umožňuje autorizaci požadavků na prostředky Azure Web PubSub s využitím ID Microsoft Entra.

Pomocí řízení přístupu na základě role (RBAC) s ID Microsoft Entra je možné udělit oprávnění objektu^{zabezpečení[1].} Microsoft Entra autorizuje tento objekt zabezpečení a vrátí token OAuth 2.0, který prostředky Web PubSub pak mohou použít k autorizaci požadavku.

Použití Microsoft Entra ID pro autorizaci požadavků Web PubSub nabízí lepší zabezpečení a snadné použití v porovnání s autorizací přístupového klíče. Společnost Microsoft doporučuje využívat autorizaci Microsoft Entra s prostředky Web PubSub, pokud je to možné, aby byl zajištěn přístup s minimálními potřebnými oprávněními.

[1] Objekt zabezpečení: uživatel/skupina prostředků, aplikace nebo instanční objekt, jako jsou identity přiřazené systémem a identity přiřazené uživatelem.

Přehled MICROSOFT Entra ID pro web PubSub

Ověřování je nezbytné pro přístup k prostředku Web PubSub při použití ID Microsoft Entra. Toto ověřování zahrnuje dva kroky:

Nejprve Azure ověří objekt zabezpečení a vydá token OAuth 2.0.
Za druhé se token přidá do požadavku na prostředek Web PubSub. Služba Web PubSub pomocí tokenu zkontroluje, jestli má instanční objekt přístup k prostředku.

Ověřování na straně klienta při používání MICROSOFT Entra ID

Server vyjednávání nebo aplikace funkcí sdílí přístupový klíč s prostředkem Web PubSub a umožňuje službě Web PubSub ověřovat žádosti o připojení klienta pomocí tokenů klienta vygenerovaných přístupovým klíčem.

Přístupový klíč je však často zakázán při použití MICROSOFT Entra ID ke zlepšení zabezpečení.

Abychom tento problém vyřešili, vyvinuli jsme rozhraní REST API, které generuje token klienta. Tento token lze použít k připojení ke službě Azure Web PubSub.

Aby bylo možné toto rozhraní API použít, musí server vyjednávání nejprve získat token Microsoft Entra z Azure, aby se ověřil sám. Server pak může volat rozhraní WEB PubSub Auth API s tokenem Microsoft Entra, aby načetl token klienta. Token klienta se pak vrátí klientovi, který ho může použít k připojení ke službě Azure Web PubSub.

Pro podporované programovací jazyky jsme poskytli pomocné funkce (například GenerateClientAccessUri).

Přiřazení rolí Azure pro přístupová práva

Microsoft Entra autorizuje přístupová práva k zabezpečeným prostředkům prostřednictvím řízení přístupu na základě role v Azure. Azure Web PubSub definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k prostředkům Web PubSub. Můžete také definovat vlastní role pro přístup k prostředkům Web PubSub.

Obor prostředku

Před přiřazením role Azure RBAC k objektu zabezpečení je důležité identifikovat odpovídající úroveň přístupu, kterou má objekt zabezpečení mít. Doporučujeme udělit roli s nejužším možným oborem. Prostředky umístěné pod dědí role Azure RBAC s širšími obory.

Přístup k prostředkům Azure Web PubSub můžete nastavit na následujících úrovních, počínaje nejužším oborem:

Jednotlivý prostředek.

V tomto oboru se přiřazení role vztahuje pouze na cílový prostředek.
Skupina prostředků.

V tomto oboru se přiřazení role vztahuje na všechny prostředky ve skupině prostředků.
Předplatné.

V tomto oboru se přiřazení role vztahuje na všechny prostředky ve všech skupinách prostředků v předplatném.
Skupina pro správu.

V tomto oboru se přiřazení role vztahuje na všechny prostředky ve všech skupinách prostředků ve všech předplatných ve skupině pro správu.

Předdefinované role Azure pro prostředky Web PubSub

Web PubSub Service Owner

Úplný přístup k oprávněním roviny dat, včetně rozhraní REST API pro čtení a zápis a rozhraní API pro ověřování.

Tato role se nejčastěji používá při vytváření nadřazeného serveru.
Web PubSub Service Reader

Slouží k udělení oprávnění rozhraní REST API jen pro čtení k prostředkům Web PubSub.

Používá se, když chcete napsat monitorovací nástroj, který volá pouze rozhraní READONLY REST API v rovině dat Web PubSub.