Autenticación JWT de Microsoft Entra y autorización RBAC de Azure para publicar o suscribir mensajes MQTT
Puede autenticar clientes MQTT con Microsoft Entra JWT para conectarse al espacio de nombres de Event Grid. Puede utilizar el control de acceso basado en roles de Azure (Azure RBAC) para permitir que los clientes MQTT, con identidad de Microsoft Entra, publiquen o suscriban el acceso a espacios de temas específicos.
Importante
- Esta característica solo se admite cuando se usa la versión del protocolo MQTT v5.
- La autenticación JWT solo se admite para identidades administradas y entidades de servicio
Requisitos previos
- Necesita un espacio de nombres de Event Grid con MQTT habilitado. Más información sobre cómo crear un espacio de nombres de Event Grid
Autenticación mediante Microsoft Entra JWT
Puede usar el paquete MQTT v5 CONNECT para proporcionar el token Microsoft Entra JWT para autenticar a su cliente, y puede usar el paquete MQTT v5 AUTH para actualizar el token.
En el paquete CONNECT, puede proporcionar los valores necesarios en los campos siguientes:
| Campo | Value |
|---|---|
| Método de autenticación | OAUTH2-JWT |
| Datos de autenticación | Token de JWT |
En el paquete AUTH puede proporcionar los valores necesarios en los campos siguientes:
| Campo | Value |
|---|---|
| Método de autenticación | OAUTH2-JWT |
| Datos de autenticación | Token de JWT |
| Código de motivo de autenticación | 25 |
El código de motivo de autenticación con el valor 25 significa una reautenticación.
Nota:
- Audiencia: la notificación "aud" debe establecerse en "https://eventgrid.azure.net/".
Autorización para conceder permisos de acceso
Un cliente que use autenticación JWT basada en Microsoft Entra ID necesita ser autorizado para comunicarse con el espacio de nombres Event Grid. Puede asignar los dos roles integrados siguientes para proporcionar permisos de publicación o suscripción a los clientes con identidades de Microsoft Entra.
- Uso del rol EventGrid TopicSpaces Publisher para proporcionar acceso al publicador de mensajes MQTT
- Uso del rol EventGrid TopicSpaces Subscriber para proporcionar acceso al suscriptor de mensajes MQTT
Puede usar estos roles para proporcionar permisos en el ámbito de suscripción, grupo de recursos, espacio de nombres de Event Grid o espacio de temas de Event Grid.
Asignación del rol de publicador a la identidad de Microsoft Entra en el ámbito del espacio de temas
- En Azure Portal, vaya al espacio de nombres de Event Grid
- Vaya al espacio de temas al que desea autorizar el acceso.
- Vaya a la página Control de acceso (IAM) del espacio del tema.
- Seleccione la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.
- Seleccione + Agregar y Agregar asignación de roles.
- En la pestaña Rol, seleccione el rol "Event Grid TopicSpaces Publisher".
- En la pestaña Miembros, para Asignar acceso a, seleccione la opción Usuario, grupo o entidad de servicio para asignar el rol seleccionado a una o varias entidades de servicio (aplicaciones).
- Seleccione + Seleccionar integrantes.
- Busque y seleccione las entidades de servicio.
- Seleccione Siguiente.
- Seleccione Revisar y asignar, en la pestaña Revisar y asignar.
Nota:
Puede seguir pasos similares para asignar el rol integrado EventGrid TopicSpaces Subscriber en el ámbito del espacio de temas.
Pasos siguientes
- Consulte Publicación y suscripción a un mensaje MQTT mediante Event Grid
- Para obtener más información sobre cómo funcionan las identidades administradas, puede consultar Cómo funcionan las identidades administradas para los recursos de Azure con máquinas virtuales de Azure: Microsoft Entra
- Para obtener más información sobre cómo obtener tokens de Microsoft Entra ID, puede ver obtener tokens de Microsoft Entra
- Para obtener más información sobre la biblioteca cliente de Azure Identity, puede consultar Usar la biblioteca cliente de Azure Identity
- Para obtener más información sobre la implementación de una interfaz para las credenciales que pueden proporcionar un token, puede consultar la interfaz TokenCredential
- Para obtener más información sobre cómo autenticarse mediante Azure Identity, puede consultar ejemplos
- Si prefiere usar roles personalizados, puede revisar el proceso para crear un rol personalizado.