Авторизация доступа к ресурсам Web PubSub с помощью идентификатора Microsoft Entra

Служба Azure Web PubSub обеспечивает авторизацию запросов к ресурсам Azure Web PubSub с помощью идентификатора Microsoft Entra.

Используя управление доступом на основе ролей (RBAC) с идентификатором Microsoft Entra, разрешения можно предоставить субъекту ^{безопасности[1]}. Microsoft Entra авторизует этот субъект безопасности и возвращает маркер OAuth 2.0, который ресурсы Web PubSub затем могут использовать для авторизации запроса.

Использование идентификатора Microsoft Entra для авторизации запросов Web PubSub обеспечивает улучшенную безопасность и удобство использования по сравнению с авторизацией ключа доступа. Корпорация Майкрософт рекомендует использовать авторизацию Microsoft Entra с ресурсами Web PubSub, чтобы обеспечить доступ с минимальными необходимыми привилегиями.

[1] Субъект безопасности: группа пользователей или ресурсов, приложение или субъект-служба, например удостоверения, назначенные системой, и удостоверения, назначенные пользователем.

Обзор идентификатора Microsoft Entra для Web PubSub

Проверка подлинности необходима для доступа к ресурсу Web PubSub при использовании идентификатора Microsoft Entra. Эта проверка подлинности включает два шага.

1. Сначала Azure проверяет подлинность субъекта безопасности и выдает маркер OAuth 2.0.
2. Во-вторых, маркер добавляется в запрос к ресурсу Web PubSub. Служба Web PubSub использует маркер для проверка, если субъект-служба имеет доступ к ресурсу.

Проверка подлинности на стороне клиента при использовании идентификатора Microsoft Entra

Сервер переговоров или приложение-функция предоставляет доступ к ключу доступа с ресурсом Web PubSub, что позволяет службе Web PubSub пройти проверку подлинности запросов на подключение клиента с помощью маркеров клиента, созданных ключом доступа.

Однако ключ доступа часто отключается при использовании идентификатора Microsoft Entra для повышения безопасности.

Для решения этой проблемы мы разработали REST API, который создает маркер клиента. Этот маркер можно использовать для подключения к службе Azure Web PubSub.

Чтобы использовать этот API, сервер переговоров должен сначала получить маркер Microsoft Entra из Azure для проверки подлинности. Затем сервер может вызвать API проверки подлинности Web PubSub с маркером записи Майкрософт, чтобы получить маркер клиента. Затем маркер клиента возвращается клиенту, который может использовать его для подключения к службе Azure Web PubSub.

Мы предоставили вспомогательные функции (например, GenerateClientAccessUri) для поддерживаемых языков программирования.

Назначение ролей Azure для предоставления прав доступа

Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure. Azure Web PubSub определяет набор встроенных ролей Azure, охватывающих общие наборы разрешений, используемых для доступа к ресурсам Web PubSub. Вы также можете определить пользовательские роли для доступа к ресурсам Web PubSub.

Область ресурса

Перед назначением роли Azure RBAC субъекту безопасности важно определить соответствующий уровень доступа, который должен иметь субъект. Рекомендуется предоставить роль с самым узким область. Ресурсы, расположенные под наследованием ролей RBAC Azure с более широкими область.

Вы можете область доступ к ресурсам Azure Web PubSub на следующих уровнях, начиная с самых узких область:

• Отдельный ресурс.

  На этом область назначение роли применяется только к целевому ресурсу.

• Группа ресурсов.

  На этом область назначение роли применяется ко всем ресурсам в группе ресурсов.

• Подписка.

  На этом область назначение ролей применяется ко всем ресурсам во всех группах ресурсов в подписке.

• Группа управления.

  На этом область назначение роли применяется ко всем ресурсам во всех группах ресурсов во всех подписках в группе управления.

Встроенные роли Azure для ресурсов Web PubSub

• Web PubSub Service Owner

  Полный доступ к разрешениям плоскости данных, включая ИНТЕРФЕЙСы REST API чтения и записи и API проверки подлинности.

  Эта роль наиболее распространена для создания сервера вышестоящий.

• Web PubSub Service Reader

  Используйте для предоставления разрешений REST API только для чтения ресурсам Web PubSub.

  Он используется, когда вы хотите написать средство мониторинга, вызывающее REST API ТОЛЬКО web PubSub уровня данных READONLY .

Следующие шаги

Сведения о создании приложения Azure и использовании авторизации Microsoft Entra см. в статье

• Авторизация запроса на ресурсы Web PubSub с помощью идентификатора Microsoft Entra из приложений

Сведения о настройке управляемого удостоверения и использовании проверки подлинности Microsoft Entra см. в статье

• Авторизация запроса к ресурсам Web PubSub с помощью идентификатора Microsoft Entra из управляемых удостоверений

Дополнительные сведения о ролях и назначениях ролей см. в статье

• Что такое управление доступом на основе ролей Azure

Сведения о создании пользовательских ролей см. в статье

• Действия по созданию настраиваемой роли

Сведения об использовании только авторизации Microsoft Entra см. в статье

• Отключение локальной проверки подлинности