Mengotorisasi akses ke sumber daya Web PubSub menggunakan ID Microsoft Entra

Layanan Azure Web PubSub memungkinkan otorisasi permintaan ke sumber daya Azure Web PubSub dengan menggunakan ID Microsoft Entra.

Dengan menggunakan kontrol akses berbasis peran (RBAC) dengan ID Microsoft Entra, izin dapat diberikan kepada prinsip keamanan^[1]. Microsoft Entra mengotorisasi prinsip keamanan ini dan mengembalikan token OAuth 2.0, yang kemudian dapat digunakan sumber daya Web PubSub untuk mengotorisasi permintaan.

Menggunakan MICROSOFT Entra ID untuk otorisasi permintaan Web PubSub menawarkan peningkatan keamanan dan kemudahan penggunaan dibandingkan dengan otorisasi Kunci Akses. Microsoft merekomendasikan penggunaan otorisasi Microsoft Entra dengan sumber daya Web PubSub jika memungkinkan untuk memastikan akses dengan hak istimewa minimum yang diperlukan.

[1] perwakilan keamanan: pengguna/grup sumber daya, aplikasi, atau perwakilan layanan seperti identitas yang ditetapkan sistem dan identitas yang ditetapkan pengguna.

Gambaran umum ID Microsoft Entra untuk Web PubSub

Autentikasi diperlukan untuk mengakses sumber daya Web PubSub saat menggunakan ID Microsoft Entra. Autentikasi ini melibatkan dua langkah:

1. Pertama, Azure mengautentikasi prinsip keamanan dan mengeluarkan token OAuth 2.0.
2. Kedua, token ditambahkan ke permintaan ke sumber daya Web PubSub. Layanan Web PubSub menggunakan token untuk memeriksa apakah perwakilan layanan memiliki akses ke sumber daya.

Autentikasi sisi klien saat menggunakan ID Microsoft Entra

Server negosiasi/Aplikasi Fungsi berbagi kunci akses dengan sumber daya Web PubSub, memungkinkan layanan Web PubSub untuk mengautentikasi permintaan koneksi klien menggunakan token klien yang dihasilkan oleh kunci akses.

Namun, kunci akses sering dinonaktifkan saat menggunakan MICROSOFT Entra ID untuk meningkatkan keamanan.

Untuk mengatasi masalah ini, kami telah mengembangkan REST API yang menghasilkan token klien. Token ini dapat digunakan untuk menyambungkan ke layanan Azure Web PubSub.

Untuk menggunakan API ini, server negosiasi harus terlebih dahulu mendapatkan Token Microsoft Entra dari Azure untuk mengautentikasi dirinya sendiri. Server kemudian dapat memanggil WEB PubSub Auth API dengan Token Microsoft Entra untuk mengambil Token Klien. Token Klien kemudian dikembalikan ke klien, yang dapat menggunakannya untuk terhubung ke layanan Azure Web PubSub.

Kami menyediakan fungsi pembantu (misalnya 'GenerateClientAccessUri) untuk bahasa pemrogram yang didukung.

Menetapkan peran Azure untuk hak akses

Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure. Azure Web PubSub menentukan set peran bawaan Azure yang mencakup set izin umum yang digunakan untuk mengakses sumber daya Web PubSub. Anda juga dapat mendefinisikan peran kustom untuk akses ke sumber daya Web PubSub.

Cakupan sumber daya

Sebelum menetapkan peran Azure RBAC ke perwakilan keamanan, penting untuk mengidentifikasi tingkat akses yang sesuai yang harus dimiliki prinsipal. Disarankan untuk memberikan peran dengan cakupan sesempit mungkin. Sumber daya yang terletak di bawahnya mewarisi peran Azure RBAC dengan cakupan yang lebih luas.

Anda dapat mencakup akses ke sumber daya Azure Web PubSub di tingkat berikut, dimulai dengan cakupan tersempit:

• Sumber daya individu.

  Pada lingkup ini, penetapan peran hanya berlaku untuk sumber daya target.

• Grup sumber daya.

  Pada lingkup ini, penetapan peran berlaku untuk semua hub IoT dalam grup sumber daya.

• langganan.

  Pada cakupan ini, penetapan peran berlaku untuk semua sumber daya di semua grup sumber daya dalam langganan.

• Grup manajemen.

  Pada cakupan ini, penetapan peran berlaku untuk semua sumber daya di semua grup sumber daya di semua langganan di grup manajemen.

Peran bawaan Azure untuk sumber daya Web PubSub

• Web PubSub Service Owner

  Akses penuh ke izin data-plane, termasuk REST API dan Auth API baca/tulis.

  Peran ini adalah yang paling umum digunakan untuk membangun server upstram.

• Web PubSub Service Reader

  Gunakan untuk memberikan izin REST API baca-saja ke sumber daya Web PubSub.

  Ini digunakan ketika Anda ingin menulis alat pemantauan yang hanya memanggil DATA-plane WEB PubSub READONLY REST API.

Langkah berikutnya

Untuk mempelajari cara membuat aplikasi Azure dan menggunakan otorisasi Microsoft Entra, lihat

• Mengotorisasi permintaan ke sumber daya Web PubSub dengan ID Microsoft Entra dari aplikasi

Untuk mempelajari cara mengonfigurasi identitas terkelola dan menggunakan autentikasi Microsoft Entra, lihat

• Mengotorisasi permintaan ke sumber daya Web PubSub dengan ID Microsoft Entra dari identitas terkelola

Untuk mempelajari lebih lanjut tentang tugas peran, lihat

• Apa itu kontrol akses berbasis peran Azure

Untuk mempelajari cara membuat peran kustom, lihat

• Langkah-langkah untuk membuat peran kustom

Untuk mempelajari cara menggunakan otorisasi Microsoft Entra saja, lihat

• Nonaktifkan autentikasi lokal