Ověřování Microsoft Entra JWT a autorizace Azure RBAC pro publikování nebo přihlášení k odběru zpráv MQTT
Klienty MQTT můžete ověřit pomocí Microsoft Entra JWT pro připojení k oboru názvů Event Grid. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete klientům MQTT s identitou Microsoft Entra povolit publikování nebo přihlášení k odběru přístupu ke konkrétním prostorům témat.
Důležité
- Tato funkce se podporuje jenom při použití verze protokolu MQTT v5.
- Ověřování JWT se podporuje jenom pro spravované identity a instanční objekty.
Požadavky
- Potřebujete obor názvů Služby Event Grid s povoleným MQTT. Informace o vytváření oboru názvů Event Gridu
Ověřování pomocí Microsoft Entra JWT
Pomocí paketu MQTT v5 CONNECT můžete poskytnout token Microsoft Entra JWT pro ověření klienta a k aktualizaci tokenu můžete použít paket MQTT v5 AUTH.
V paketu CONNECT můžete zadat požadované hodnoty v následujících polích:
| Pole | Hodnota |
|---|---|
| Metoda ověřování | OAUTH2-JWT |
| Ověřovací data | Token JWT |
V paketu AUTH můžete zadat požadované hodnoty v následujících polích:
| Pole | Hodnota |
|---|---|
| Metoda ověřování | OAUTH2-JWT |
| Ověřovací data | Token JWT |
| Kód důvodu ověřování | 25 |
Ověřovací kód důvodu s hodnotou 25 označuje opětovné ověření.
Poznámka:
- Cílová skupina: Deklarace identity "aud" musí být nastavená na ;https://eventgrid.azure.net/".
Autorizace pro udělení přístupových oprávnění
Klient, který používá ověřování JWT na základě ID Microsoft Entra, musí mít oprávnění ke komunikaci s oborem názvů Event Grid. Klientům s identitami Microsoft Entra můžete přiřadit následující dvě předdefinované role, které poskytují oprávnění k publikování nebo přihlášení k odběru.
- Použití role Vydavatele EventGrid TopicSpaces k poskytnutí přístupu vydavatele zpráv MQTT
- Použití role odběratele EventGrid TopicSpaces k poskytnutí přístupu odběratele zpráv MQTT
Tyto role můžete použít k poskytnutí oprávnění k odběru, skupině prostředků, oboru názvů Event Gridu nebo oboru oboru témat Event Gridu.
Přiřazení role vydavatele k identitě Microsoft Entra v oboru oboru oboru oboru témat
- Na webu Azure Portal přejděte do svého oboru názvů Event Gridu.
- Přejděte do oboru témat, ke kterému chcete autorizovat přístup.
- Přejděte na stránku Řízení přístupu (IAM) v oboru témat.
- Výběrem karty Přiřazení rolí zobrazte přiřazení rolí v tomto oboru.
- Vyberte + Přidat a přidat přiřazení role.
- Na kartě Role vyberte roli Event Grid TopicSpaces Publisher.
- Na kartě Členové vyberte možnost Přiřadit přístup uživateli, skupině nebo instančnímu objektu a přiřaďte vybranou roli k jednomu nebo více instančním objektům (aplikacím).
- Vyberte + Vybrat členy.
- Vyhledejte a vyberte instanční objekty.
- Vyberte Další.
- Na kartě Revize a přiřazení vyberte Revize a přiřazení .
Poznámka:
Podobným postupem můžete přiřadit předdefinované role EventGrid TopicSpaces odběratele v oboru topicspace.
Další kroky
- Viz Publikování a přihlášení k odběru zprávy MQTT pomocí Event Gridu
- Další informace o tom, jak spravované identity fungují, najdete v tématu Jak spravované identity pro prostředky Azure fungují s virtuálními počítači Azure – Microsoft Entra
- Další informace o získání tokenů z ID Microsoft Entra najdete v tématu získání tokenů Microsoft Entra.
- Další informace o klientské knihovně azure Identity najdete v klientské knihovně Azure Identity.
- Další informace o implementaci rozhraní pro přihlašovací údaje, které můžou poskytnout token, najdete v tématu TokenCredential Interface.
- Další informace o ověřování pomocí služby Azure Identity najdete v příkladech.
- Pokud raději používáte vlastní role, můžete zkontrolovat proces vytvoření vlastní role.