Autorizar el acceso a los recursos de Azure Web PubSub mediante Microsoft Entra ID

El servicio Azure Web PubSub permite la autorización de solicitudes a los recursos de Azure Web PubSub mediante el uso de Microsoft Entra ID.

Al usar el control de acceso basado en rol (RBAC) con Microsoft Entra ID, se pueden conceder permisos a una entidad de seguridad^[1]. Microsoft Entra autoriza esta entidad de seguridad y devuelve un token de OAuth 2.0, que los recursos de Web PubSub pueden usar para autorizar una solicitud.

El uso de Microsoft Entra ID para la autorización de Azure Web PubSub ofrece una mayor seguridad y facilidad de uso en comparación con la autorización de la clave de acceso. Microsoft recomienda usar la autorización de Microsoft Entra con recursos de Azure Web PubSub siempre que sea posible para garantizar el acceso con los privilegios mínimos necesarios.

[1]Entidad de seguridad: un grupo de usuarios o recursos, una aplicación o una entidad de servicio, como identidades asignadas por el sistema e identidades asignadas por el usuario.

Información general de Microsoft Entra ID para Azure Web PubSub

La autenticación es necesaria para acceder a un recurso de Web PubSub cuando se usa Microsoft Entra ID. Esta autenticación implica dos pasos:

1. En primer lugar, Azure autentica la entidad de seguridad y emite un token de OAuth 2.0.
2. En segundo lugar, el token se agrega a la solicitud al recurso de Azure Web PubSub. El servicio Azure Web PubSub usa el token para comprobar si la entidad de servicio tiene acceso al recurso.

Autenticación del lado cliente al usar Microsoft Entra ID

El servidor de negociación o aplicación de funciones comparte una clave de acceso con el recurso Azure Web PubSub, lo que permite al servicio Web PubSub autenticar las solicitudes de conexión de cliente mediante tokens de cliente generados por la clave de acceso.

Sin embargo, la clave de acceso suele deshabilitarse al usar Microsoft Entra ID para mejorar la seguridad.

Para solucionar este problema, hemos desarrollado una API de REST que genera un token de cliente. Este token se puede usar para conectarse al servicio Azure Web PubSub.

Para usar esta API, el servidor de negociación primero debe obtener un token de Microsoft Entra de Azure para autenticarse a sí mismo. A continuación, el servidor puede llamar a la API de autenticación de Web PubSub con el token de Microsoft Entra para recuperar un token de cliente. A continuación, el token de cliente se devuelve al cliente, que puede usarlo para conectarse al servicio Azure Web PubSub.

Se proporcionan funciones auxiliares (por ejemplo, "GenerateClientAccessUri") para los lenguajes de programación compatibles.

Asignación de roles de Azure para derechos de acceso

Microsoft Entra autoriza los derechos de acceso a recursos protegidos mediante el control de acceso basado en roles de Azure. Azure Web PubSub define un conjunto de roles integrados de Azure que abarcan conjuntos comunes de permisos utilizados para acceder a recursos de Web PubSub. También se pueden definir roles personalizados para el acceso a recursos de Web PubSub.

Ámbito de recursos

Antes de asignar un rol RBAC de Azure a una entidad de seguridad, es importante identificar el nivel de acceso adecuado que debe tener la entidad de seguridad. Se recomienda conceder el rol con el ámbito más estrecho posible. Los recursos ubicados debajo heredan roles RBAC de Azure con ámbitos más amplios.

Puedes limitar el acceso a los recursos de Azure Web PubSub en los niveles siguientes, empezando por el ámbito más reducido:

• Recurso individual.

  En este ámbito, la asignación de roles solo se aplica al recurso de destino.

• Grupo de recursos.

  En este ámbito, la asignación de roles se aplica a todos los recursos del grupo de recursos.

• Una suscripción.

  En este ámbito, la asignación de roles se aplica a todos los recursos de todos los grupos de recursos de la suscripción.

• Un grupo de administración.

  En este ámbito, la asignación de roles se aplica a todos los recursos de todos los grupos de recursos de todas las suscripciones del grupo de administración.

Roles integrados de Azure para recursos de Web PubSub

• Web PubSub Service Owner

  Acceso total a los permisos del plano de datos, incluidas las API REST de lectura y escritura y las API de autenticación.

  Este rol es el más común que se usa para crear un servidor ascendente.

• Web PubSub Service Reader

  Úselo para conceder permisos de API REST de solo lectura a los recursos de Web PubSub.

  Normalmente se usa cuando se quiere escribir una herramienta de supervisión que llama ONLY a las API de REST READONLY del plano de datos de Azure Web PubSub.

Pasos siguientes

Para obtener información sobre cómo crear una aplicación de Azure y usar la autorización de Microsoft Entra, consulta

• Autorización de la solicitud a recursos de Azure Web PubSub con Microsoft Entra ID desde aplicaciones

Para obtener información sobre cómo configurar una identidad administrada y usar la autenticación de Microsoft Entra, consulta

• Autorización de la solicitud a recursos de Azure Web PubSub con el identificador de Microsoft Entra desde identidades administradas

Para más información sobre los roles y las asignaciones de roles, consulte:

• Qué es el control de acceso basado en rol de Azure (RBAC)

Para aprender a crear roles personalizados, consulte:

• Pasos para crear un rol personalizado

Para aprender a usar solo la autorización de Microsoft Entra, consulta

• Deshabilitación de la autenticación local