Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Služba Azure Web PubSub umožňuje autorizaci požadavků na prostředky Azure Web PubSub s využitím ID Microsoft Entra.
Pomocí řízení přístupu založeného na rolích (RBAC) s Microsoft Entra ID je možné udělit oprávnění k objektu zabezpečení[1]. Microsoft Entra autorizuje tento objekt zabezpečení a vrátí token OAuth 2.0, který prostředky Web PubSub pak mohou použít k autorizaci požadavku.
Použití Microsoft Entra ID pro autorizaci požadavků Web PubSub nabízí lepší zabezpečení a snadné použití v porovnání s autorizací přístupového klíče. Společnost Microsoft doporučuje využívat autorizaci Microsoft Entra s prostředky Web PubSub, pokud je to možné, aby byl zajištěn přístup s minimálními potřebnými oprávněními.
[1] objekt zabezpečení: uživatel/skupina prostředků, aplikace nebo instanční objekt, jako jsou identity přiřazené systémem a identity přiřazené uživatelem.
Přehled Microsoft Entra ID pro Web PubSub služby
Ověřování je nezbytné pro přístup k prostředku Web PubSub při použití ID Microsoft Entra. Toto ověřování zahrnuje dva kroky:
- Nejprve Azure ověří objekt zabezpečení a vydá token OAuth 2.0.
- Za druhé se token přidá do požadavku na prostředek Web PubSub. Služba Web PubSub pomocí tokenu zkontroluje, jestli má instanční objekt přístup k prostředku.
Ověřování na straně klienta při používání MICROSOFT Entra ID
Server vyjednávání nebo aplikace funkcí sdílí přístupový klíč s prostředkem Web PubSub a umožňuje službě Web PubSub ověřovat žádosti o připojení klienta pomocí tokenů klienta vygenerovaných přístupovým klíčem.
Přístupový klíč je však často zakázán při použití MICROSOFT Entra ID ke zlepšení zabezpečení.
Abychom tento problém vyřešili, vyvinuli jsme rozhraní REST API, které generuje token klienta. Tento token lze použít k připojení ke službě Azure Web PubSub.
Aby bylo možné toto rozhraní API použít, musí server vyjednávání nejprve získat token Microsoft Entra z Azure k ověření. Server pak může volat rozhraní API web PubSub Auth pomocí tokenu Microsoft Entra k načtení klientského tokenu. Token klienta se pak vrátí klientovi, který ho může použít k připojení ke službě Azure Web PubSub.
Pro podporované programovací jazyky jsme poskytli pomocné funkce (například GenerateClientAccessUri).
Přiřazení rolí Azure pro přístupová práva
Microsoft Entra autorizuje přístupová práva k zabezpečeným prostředkům prostřednictvím řízení přístupu na základě role v Azure. Azure Web PubSub definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k prostředkům Web PubSub. Můžete také definovat vlastní role pro přístup k prostředkům Web PubSub.
Rozsah prostředků
Před přiřazením role Azure RBAC k objektu zabezpečení je důležité identifikovat odpovídající úroveň přístupu, kterou má objekt zabezpečení mít. Doporučuje se udělit roli v co nejomezenějším rozsahu. Prostředky v této oblasti automaticky dědí role Azure RBAC přiřazené k rozsahu.
Přístup k prostředkům Azure Web PubSub můžete nastavit na následujících úrovních, počínaje nejužším oborem:
Individuální zdroj.
V tomto oboru se přiřazení role vztahuje pouze na cílový prostředek.
Skupina prostředků.
V tomto oboru se přiřazení role vztahuje na všechny prostředky ve skupině prostředků.
Předplatné.
V tomto oboru se přiřazení role vztahuje na všechny prostředky ve všech skupinách prostředků v předplatném.
skupina pro správu.
V tomto rozsahu se přiřazení role vztahuje na všechny prostředky ve všech skupinách prostředků a ve všech předplatných ve skupině pro správu.
Předdefinované role Azure pro prostředky Web PubSub
| Role | Popis | Případ použití |
|---|---|---|
| Vlastník služby Web PubSub | Úplný přístup k rozhraním API roviny dat, včetně rozhraní REST API pro čtení a zápis a rozhraní API pro ověřování. | Nejčastěji se používá k vytvoření nadřazeného serveru, který zpracovává žádosti o vyjednávání a události klienta. |
| čtečka služby Web PubSub | Přístup k rozhraním API roviny dat jen pro čtení | Použijte ho při psaní monitorovacího nástroje, který volá pouze readonly REST API. |
Zjistěte, jak vytvořit vlastní roli, pokud předdefinované role nesplňují vaše požadavky.
Azure vlastní role: Kroky k vytvoření vlastní role
Další kroky
Informace o používání ověřování Microsoft Entra s řízením přístupu na základě role najdete v tomto tématu
- autorizace požadavků na prostředky Azure Web PubSub pomocí aplikací Microsoft Entra
- autorizace požadavků na prostředky Azure Web PubSub se spravovanými identitami pro prostředky Azure
Další informace o řízení přístupu na základě rolí najdete v tématu
Pokyny k zakázání připojovacího řetězce a používání pouze ověřování Microsoft Entra najdete v následujícím textu.