Autorizzare l'accesso alle risorse Web PubSub usando Microsoft Entra ID

Il servizio Web PubSub di Azure consente l'autorizzazione delle richieste alle risorse Web PubSub di Azure usando Microsoft Entra ID.

Usando il controllo degli accessi in base al ruolo (RBAC) con Microsoft Entra ID, le autorizzazioni possono essere concesse a un'entità ^{di sicurezza[1]}. Microsoft Entra autorizza questa entità di sicurezza e restituisce un token OAuth 2.0, che le risorse Web PubSub possono quindi usare per autorizzare una richiesta.

L'uso di Microsoft Entra ID per l'autorizzazione delle richieste Web PubSub offre una maggiore sicurezza e facilità d'uso rispetto all'autorizzazione della chiave di accesso. Microsoft consiglia di utilizzare l'autorizzazione Microsoft Entra con le risorse Web PubSub quando possibile per garantire l'accesso con i privilegi minimi necessari.

[1] Entità di sicurezza: un utente/gruppo di risorse, un'applicazione o un'entità servizio, ad esempio identità assegnate dal sistema e identità assegnate dall'utente.

Panoramica di Microsoft Entra ID for Web PubSub

L'autenticazione è necessaria per accedere a una risorsa PubSub Web quando si usa Microsoft Entra ID. Questa autenticazione prevede due passaggi:

1. Prima di tutto, Azure autentica l'entità di sicurezza e rilascia un token OAuth 2.0.
2. In secondo luogo, il token viene aggiunto alla richiesta alla risorsa Web PubSub. Il servizio Web PubSub usa il token per verificare se l'entità servizio ha accesso alla risorsa.

Autenticazione lato client durante l'uso dell'ID Microsoft Entra

Il server di negoziazione/App per le funzioni condivide una chiave di accesso con la risorsa Web PubSub, consentendo al servizio Web PubSub di autenticare le richieste di connessione client usando i token client generati dalla chiave di accesso.

Tuttavia, la chiave di accesso viene spesso disabilitata quando si usa Microsoft Entra ID per migliorare la sicurezza.

Per risolvere questo problema, è stata sviluppata un'API REST che genera un token client. Questo token può essere usato per connettersi al servizio PubSub Web di Azure.

Per usare questa API, il server di negoziazione deve prima ottenere un token Entra Microsoft da Azure per autenticarsi. Il server può quindi chiamare l'API Web PubSub Auth con il token Microsoft Entra per recuperare un token client. Il token client viene quindi restituito al client, che può usarlo per connettersi al servizio PubSub Web di Azure.

Sono disponibili funzioni helper (ad esempio "GenerateClientAccessUri) per i linguaggi di programmazione supportati.

Assegnare ruoli di Azure per i diritti di accesso

Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Web PubSub di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere alle risorse Web PubSub. È anche possibile definire ruoli personalizzati per l'accesso alle risorse Web PubSub.

Ambito risorsa

Prima di assegnare un ruolo controllo degli accessi in base al ruolo di Azure a un'entità di sicurezza, è importante identificare il livello di accesso appropriato che l'entità deve avere. È consigliabile concedere il ruolo con l'ambito più ristretto possibile. Le risorse che si trovano sotto ereditano i ruoli controllo degli accessi in base al ruolo di Azure con ambiti più ampi.

È possibile definire l'ambito dell'accesso alle risorse Web PubSub di Azure ai livelli seguenti, a partire dall'ambito più ristretto:

• Una singola risorsa.

  In questo ambito, un'assegnazione di ruolo si applica solo alla risorsa di destinazione.

• Gruppo di risorse.

  In questo ambito, un'assegnazione di ruolo si applica a tutte le risorse nel gruppo di risorse.

• Una sottoscrizione.

  In questo ambito, un'assegnazione di ruolo si applica a tutte le risorse in tutti i gruppi di risorse nella sottoscrizione.

• Un gruppo di gestione.

  In questo ambito, un'assegnazione di ruolo si applica a tutte le risorse in tutti i gruppi di risorse in tutte le sottoscrizioni nel gruppo di gestione.

Ruoli predefiniti di Azure per le risorse Web PubSub

• Web PubSub Service Owner

  Accesso completo alle autorizzazioni del piano dati, incluse le API REST di lettura/scrittura e le API di autenticazione.

  Questo ruolo è il più comune usato per la compilazione di un server upstream.

• Web PubSub Service Reader

  Usare per concedere le autorizzazioni per le API REST di sola lettura alle risorse PubSub Web.

  Viene usato quando si vuole scrivere uno strumento di monitoraggio che chiama SOLO LE API REST READONLY del piano dati WEB PubSub.

Passaggi successivi

Per informazioni su come creare un'applicazione Azure e usare l'autorizzazione di Microsoft Entra, vedere

• Autorizzare la richiesta alle risorse Web PubSub con l'ID Microsoft Entra dalle applicazioni

Per informazioni su come configurare un'identità gestita e usare l'autenticazione di Microsoft Entra, vedere

• Autorizzare la richiesta alle risorse Web PubSub con l'ID Microsoft Entra da identità gestite

Per altre informazioni sui ruoli e sulle assegnazioni di ruolo, vedere

• Che cos'è il controllo degli accessi in base al ruolo di Azure

Per informazioni su come creare ruoli personalizzati, vedere

• Passaggi per creare un ruolo personalizzato

Per informazioni su come usare solo l'autorizzazione di Microsoft Entra, vedere

• Disabilitare l'autenticazione locale