Compartir a través de


Autenticación JWT de Microsoft Entra y autorización RBAC de Azure para publicar o suscribir mensajes MQTT

Puede autenticar clientes MQTT con Microsoft Entra JWT para conectarse al espacio de nombres de Event Grid. Puede utilizar el control de acceso basado en roles de Azure (Azure RBAC) para permitir que los clientes MQTT, con identidad de Microsoft Entra, publiquen o suscriban el acceso a espacios de temas específicos.

Importante

  • Esta característica solo se admite cuando se usa la versión del protocolo MQTT v5.
  • La autenticación JWT solo se admite para identidades administradas y entidades de servicio

Requisitos previos

Autenticación mediante Microsoft Entra JWT

Puede usar el paquete MQTT v5 CONNECT para proporcionar el token Microsoft Entra JWT para autenticar a su cliente, y puede usar el paquete MQTT v5 AUTH para actualizar el token.

En el paquete CONNECT, puede proporcionar los valores necesarios en los campos siguientes:

Campo Value
Método de autenticación OAUTH2-JWT
Datos de autenticación Token de JWT

En el paquete AUTH puede proporcionar los valores necesarios en los campos siguientes:

Campo Value
Método de autenticación OAUTH2-JWT
Datos de autenticación Token de JWT
Código de motivo de autenticación 25

El código de motivo de autenticación con el valor 25 significa una reautenticación.

Nota:

  • Audiencia: la notificación "aud" debe establecerse en "https://eventgrid.azure.net/".

Autorización para conceder permisos de acceso

Un cliente que use autenticación JWT basada en Microsoft Entra ID necesita ser autorizado para comunicarse con el espacio de nombres Event Grid. Puede asignar los dos roles integrados siguientes para proporcionar permisos de publicación o suscripción a los clientes con identidades de Microsoft Entra.

  • Uso del rol EventGrid TopicSpaces Publisher para proporcionar acceso al publicador de mensajes MQTT
  • Uso del rol EventGrid TopicSpaces Subscriber para proporcionar acceso al suscriptor de mensajes MQTT

Puede usar estos roles para proporcionar permisos en el ámbito de suscripción, grupo de recursos, espacio de nombres de Event Grid o espacio de temas de Event Grid.

Asignación del rol de publicador a la identidad de Microsoft Entra en el ámbito del espacio de temas

  1. En Azure Portal, vaya al espacio de nombres de Event Grid
  2. Vaya al espacio de temas al que desea autorizar el acceso.
  3. Vaya a la página Control de acceso (IAM) del espacio del tema.
  4. Seleccione la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.
  5. Seleccione + Agregar y Agregar asignación de roles.
  6. En la pestaña Rol, seleccione el rol "Event Grid TopicSpaces Publisher".
  7. En la pestaña Miembros, para Asignar acceso a, seleccione la opción Usuario, grupo o entidad de servicio para asignar el rol seleccionado a una o varias entidades de servicio (aplicaciones).
  8. Seleccione + Seleccionar integrantes.
  9. Busque y seleccione las entidades de servicio.
  10. Seleccione Siguiente.
  11. Seleccione Revisar y asignar, en la pestaña Revisar y asignar.

Nota:

Puede seguir pasos similares para asignar el rol integrado EventGrid TopicSpaces Subscriber en el ámbito del espacio de temas.

Pasos siguientes