Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können MQTT-Clients mit Microsoft Entra JWT authentifizieren, um eine Verbindung mit einem Event Grid-Namespace herzustellen. Sie können die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) verwenden, um MQTT-Clients mit Microsoft Entra-Identität das Veröffentlichen oder Abonnieren des Zugriffs auf bestimmte Themenbereiche zu ermöglichen.
Wichtig
- Dieses Feature wird nur bei Verwendung der MQTT v5-Protokollversion unterstützt
Voraussetzungen
- Sie benötigen einen Event Grid-Namespace mit MQTT-Aktivierung. Hier erfahren Sie mehr über das Erstellen eines Event Grid-Namespace.
Authentifizierung mit Microsoft Entra JWT
Sie können das MQTT v5 CONNECT-Paket verwenden, um das Microsoft Entra JWT-Token zur Authentifizierung Ihres Clients bereitzustellen, und Sie können das MQTT v5 AUTH-Paket verwenden, um das Token zu aktualisieren.
Im CONNECT-Paket können Sie die erforderlichen Werte in den folgenden Feldern angeben:
| Feld | Wert |
|---|---|
| Authentifizierungsmethode | OAUTH2-JWT |
| Authentifizierungsdaten | JWT-Token |
Im AUTH-Paket können Sie die erforderlichen Werte in den folgenden Feldern angeben:
| Feld | Wert |
|---|---|
| Authentifizierungsmethode | OAUTH2-JWT |
| Authentifizierungsdaten | JWT-Token |
| Ursachencode für die Authentifizierung | 25 |
Der Authentifizierungsursachencode mit dem Wert 25 bedeutet eine erneute Authentifizierung.
Hinweis
- Zielgruppe: Der Anspruch
audmuss aufhttps://eventgrid.azure.net/festgelegt werden.
Autorisierung zum Erteilen von Zugriffsberechtigungen
Ein Client, der die Microsoft Entra ID-basierte JWT-Authentifizierung verwendet, muss für die Kommunikation mit dem Event Grid-Namespace autorisiert werden. Sie können den Clients mit Microsoft Entra-Identitäten die folgenden zwei integrierten Rollen zuweisen, um entweder Veröffentlichungs- oder Abonnementberechtigungen bereitzustellen.
- Verwenden der Rolle EventGrid TopicSpaces Publisher zum Bereitstellen des Zugriffs auf MQTT-Herausgeber
- Verwenden der Rolle EventGrid TopicSpaces Subscriber zum Bereitstellen des MQTT-Abonnentenzugriffs
Sie können diese Rollen verwenden, um Berechtigungen für Abonnement, Ressourcengruppe, Event Grid-Namespace oder Event Grid-Themenbereich bereitzustellen.
Zuweisen der Herausgeberrolle zu Ihrer Microsoft Entra-Identität im Themenbereich
- Navigieren Sie im Azure-Portal zu Ihrem Event Grid-Namespace.
- Navigieren Sie zu dem Themenbereich, für den Sie den Zugriff autorisieren möchten.
- Wechseln Sie zur Seite „Zugriffssteuerung (IAM)“ des Themenbereichs.
- Wählen Sie die Registerkarte Rollenzuweisungen aus, um die Rollenzuweisungen für diesen Bereich anzuzeigen.
- Wählen Sie + Hinzufügen und dann „Rollenzuweisung hinzufügen“ aus.
- Wählen Sie auf der Registerkarte „Rolle“ die Rolle „EventGrid TopicSpaces Publisher“ aus.
- Wählen Sie auf der Registerkarte „Mitglieder“ für Zugriff zuweisen die Option „Benutzer, Gruppe oder Dienstprinzipal“ aus, um die ausgewählte Rolle mindestens einem Dienstprinzipal (Anwendung) zuzuweisen.
- Wählen Sie + Mitglieder auswählen aus.
- Suchen Sie die Dienstprinzipale und wählen Sie sie aus.
- Klicken Sie auf Weiter.
- Wählen Sie auf der Registerkarte Überprüfen + zuweisen die Registerkarte „Überprüfen + zuweisen“ aus.
Hinweis
Sie können ähnliche Schritte ausführen, um die integrierte Rolle „EventGrid TopicSpaces Subscriber“ im Themenbereich zuzuweisen.
Nächste Schritte
- Weitere Informationen finden Sie unter Veröffentlichen und Abonnieren von MQTT-Nachrichten mithilfe von Event Grid.
- Weitere Informationen zur Funktionsweise verwalteter Identitäten finden Sie unter Verwendung verwalteter Identitäten für Azure-Ressourcen zusammen mit virtuellen Azure-Computern.
- Weitere Informationen zum Abrufen von Token aus Microsoft Entra ID finden Sie unter Abrufen von Microsoft Entra-Token.
- Weitere Informationen zur Azure-Identitätsclientbibliothek finden Sie unter Abrufen eines Tokens mithilfe der Azure-Identitätsclientbibliothek.
- Weitere Informationen zum Implementieren einer Schnittstelle für Anmeldeinformationen, die ein Token bereitstellen können, finden Sie im Artikel zur TokenCredential-Schnittstelle
- Weitere Informationen zur Authentifizierung mithilfe einer Azure-Identität finden Sie in den Beispielen.
- Wenn Sie benutzerdefinierte Rollen verwenden möchten, können Sie den Prozess überprüfen, um eine benutzerdefinierte Rolle zu erstellen