Sdílet prostřednictvím


Ověřování Microsoft Entra JWT a autorizace Azure RBAC pro publikování nebo přihlášení k odběru zpráv MQTT

Klienty MQTT můžete ověřit pomocí Microsoft Entra JWT pro připojení k oboru názvů Event Grid. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete klientům MQTT s identitou Microsoft Entra povolit publikování nebo přihlášení k odběru přístupu ke konkrétním prostorům témat.

Důležité

  • Tato funkce se podporuje jenom při použití verze protokolu MQTT v5.
  • Ověřování JWT se podporuje jenom pro spravované identity a instanční objekty.

Požadavky

Ověřování pomocí Microsoft Entra JWT

Pomocí paketu MQTT v5 CONNECT můžete poskytnout token Microsoft Entra JWT pro ověření klienta a k aktualizaci tokenu můžete použít paket MQTT v5 AUTH.

V paketu CONNECT můžete zadat požadované hodnoty v následujících polích:

Pole Hodnota
Metoda ověřování OAUTH2-JWT
Ověřovací data Token JWT

V paketu AUTH můžete zadat požadované hodnoty v následujících polích:

Pole Hodnota
Metoda ověřování OAUTH2-JWT
Ověřovací data Token JWT
Kód důvodu ověřování 25

Ověřovací kód důvodu s hodnotou 25 označuje opětovné ověření.

Poznámka:

  • Cílová skupina: Deklarace identity "aud" musí být nastavená na ;https://eventgrid.azure.net/".

Autorizace pro udělení přístupových oprávnění

Klient, který používá ověřování JWT na základě ID Microsoft Entra, musí mít oprávnění ke komunikaci s oborem názvů Event Grid. Klientům s identitami Microsoft Entra můžete přiřadit následující dvě předdefinované role, které poskytují oprávnění k publikování nebo přihlášení k odběru.

  • Použití role Vydavatele EventGrid TopicSpaces k poskytnutí přístupu vydavatele zpráv MQTT
  • Použití role odběratele EventGrid TopicSpaces k poskytnutí přístupu odběratele zpráv MQTT

Tyto role můžete použít k poskytnutí oprávnění k odběru, skupině prostředků, oboru názvů Event Gridu nebo oboru oboru témat Event Gridu.

Přiřazení role vydavatele k identitě Microsoft Entra v oboru oboru oboru oboru témat

  1. Na webu Azure Portal přejděte do svého oboru názvů Event Gridu.
  2. Přejděte do oboru témat, ke kterému chcete autorizovat přístup.
  3. Přejděte na stránku Řízení přístupu (IAM) v oboru témat.
  4. Výběrem karty Přiřazení rolí zobrazte přiřazení rolí v tomto oboru.
  5. Vyberte + Přidat a přidat přiřazení role.
  6. Na kartě Role vyberte roli Event Grid TopicSpaces Publisher.
  7. Na kartě Členové vyberte možnost Přiřadit přístup uživateli, skupině nebo instančnímu objektu a přiřaďte vybranou roli k jednomu nebo více instančním objektům (aplikacím).
  8. Vyberte + Vybrat členy.
  9. Vyhledejte a vyberte instanční objekty.
  10. Vyberte Další.
  11. Na kartě Revize a přiřazení vyberte Revize a přiřazení .

Poznámka:

Podobným postupem můžete přiřadit předdefinované role EventGrid TopicSpaces odběratele v oboru topicspace.

Další kroky