Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Klienty MQTT můžete ověřit pomocí Microsoft Entra JWT pro připojení k oboru názvů Event Grid. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete klientům MQTT s identitou Microsoft Entra povolit publikování nebo přihlášení k odběru přístupu ke konkrétním prostorům témat.
Důležité
- Tato funkce se podporuje jenom při použití verze protokolu MQTT v5.
Požadavky
- Potřebujete obor názvů Event Grid s povoleným MQTT. Zjistěte více o vytváření oboru názvů Event Grid
Ověřování pomocí Microsoft Entra JWT
Pomocí paketu MQTT v5 CONNECT můžete poskytnout Microsoft Entra JWT k ověření klienta a k aktualizaci tokenu můžete použít paket MQTT v5 AUTH.
V paketu CONNECT můžete zadat požadované hodnoty v následujících polích:
| Pole | Hodnota |
|---|---|
| Metoda ověřování | OAUTH2-JWT |
| Ověřovací data | JWT |
V paketu AUTH můžete zadat požadované hodnoty v následujících polích:
| Pole | Hodnota |
|---|---|
| Metoda ověřování | OAUTH2-JWT |
| Ověřovací data | JWT |
| Kód důvodu ověřování | 25 |
Ověřovací kód důvodu s hodnotou 25 označuje opětovné ověření.
Poznámka:
- Cílová skupina:
audDeklarace identity musí být nastavena nahttps://eventgrid.azure.net/.
Autorizace pro udělení přístupových oprávnění
Klient, který používá ověřování JWT na základě ID Microsoft Entra, musí mít oprávnění ke komunikaci s oborem názvů Event Grid. Klientům s identitami Microsoft Entra můžete přiřadit následující dvě předdefinované role, které poskytují oprávnění k publikování nebo přihlášení k odběru.
- Použijte roli EventGrid TopicSpaces Publisher k poskytnutí přístupu vydavatele zpráv MQTT
- Použijte roli EventGrid TopicSpaces Subscriber k zajištění přístupu odběratele ke zprávám MQTT.
Tyto role můžete použít k poskytnutí oprávnění na úrovni odběru, skupiny prostředků, oboru názvů Event Gridu nebo prostoru tématu Event Gridu.
Přiřazení role vydavatele k identitě Microsoft Entra na úrovni rozsahu prostoru témat
- V portálu Azure přejděte do svého oboru názvů Event Grid.
- Přejděte do prostoru tématu, ke kterému chcete autorizovat přístup.
- Přechod na stránku Řízení přístupu (IAM) v prostoru tématu
- Výběrem karty Přiřazení rolí zobrazte přiřazení rolí v tomto oboru.
- Vyberte + Přidat a Přidat přiřazení role.
- Na kartě Role vyberte roli Event Grid TopicSpaces Publisher.
- Na kartě Členové vyberte možnost Přiřadit přístup uživateli, skupině nebo instančnímu objektu a přiřaďte vybranou roli k jednomu nebo více instančním objektům (aplikacím).
- Vyberte + Vybrat členy.
- Vyhledejte a vyberte služební principy.
- Vyberte Další.
- Na záložce Revize + přiřazení vyberte Revize + přiřazení.
Poznámka:
Podobným postupem můžete přiřadit předdefinovanou roli odběratele Event Grid TopicSpaces v rámci prostoru tématu.
Další kroky
- Viz Publikování a přihlášení k odběru zprávy MQTT pomocí Event Gridu
- Další informace o tom, jak spravované identity fungují, najdete v tématu Jak spravované identity pro prostředky Azure fungují s virtuálními počítači Azure – Microsoft Entra
- Další informace o získání tokenů z ID Microsoft Entra najdete v tématu získání tokenů Microsoft Entra.
- Další informace o klientské knihovně azure Identity najdete v klientské knihovně Azure Identity.
- Další informace o implementaci rozhraní pro přihlašovací údaje, které můžou poskytnout token, najdete v tématu TokenCredential Interface.
- Další informace o ověřování pomocí služby Azure Identity najdete v příkladech.
- Pokud raději používáte vlastní role, můžete zkontrolovat proces vytvoření vlastní role.