Autentikasi Microsoft Entra JWT dan otorisasi Azure RBAC untuk menerbitkan atau berlangganan pesan MQTT
Anda dapat mengautentikasi klien MQTT dengan Microsoft Entra JWT untuk menyambungkan ke namespace Layanan Event Grid. Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengaktifkan klien MQTT, dengan identitas Microsoft Entra, untuk menerbitkan atau berlangganan akses ke ruang topik tertentu.
Penting
- Fitur ini hanya didukung saat menggunakan versi protokol MQTT v5
- Autentikasi JWT hanya didukung untuk Identitas Terkelola dan Perwakilan layanan
Prasyarat
- Anda memerlukan namespace Layanan Event Grid dengan MQTT diaktifkan. Pelajari tentang membuat namespace Layanan Event Grid
Autentikasi menggunakan Microsoft Entra JWT
Anda dapat menggunakan paket MQTT v5 CONNECT untuk menyediakan token Microsoft Entra JWT untuk mengautentikasi klien Anda, dan Anda dapat menggunakan paket AUTH MQTT v5 untuk menyegarkan token.
Dalam paket CONNECT, Anda dapat memberikan nilai yang diperlukan di bidang berikut:
| Bidang | Nilai |
|---|---|
| Metode autentikasi | OAUTH2-JWT |
| Data Autentikasi | Token JWT |
Dalam paket AUTH, Anda dapat memberikan nilai yang diperlukan di bidang berikut:
| Bidang | Nilai |
|---|---|
| Metode autentikasi | OAUTH2-JWT |
| Data Autentikasi | Token JWT |
| Kode Alasan Autentikasi | 25 |
Autentikasi Kode Alasan dengan nilai 25 menandakan autentikasi ulang.
Catatan
- Audiens: Klaim "aud" harus diatur ke "https://eventgrid.azure.net/".
Otorisasi untuk memberikan izin akses
Klien yang menggunakan autentikasi JWT berbasis ID Microsoft Entra perlu diotorisasi untuk berkomunikasi dengan namespace Layanan Event Grid. Anda dapat menetapkan dua peran bawaan berikut untuk menyediakan izin terbitkan atau berlangganan, kepada klien dengan identitas Microsoft Entra.
- Menggunakan peran Penerbit EventGrid TopicSpaces untuk menyediakan akses penerbit pesan MQTT
- Menggunakan peran Pelanggan EventGrid TopicSpaces untuk menyediakan akses pelanggan pesan MQTT
Anda dapat menggunakan peran ini untuk memberikan izin di langganan, grup sumber daya, namespace layanan Event Grid, atau cakupan ruang topik Event Grid.
Menetapkan peran penerbit ke identitas Microsoft Entra Anda di cakupan ruang topik
- Di portal Azure, navigasikan ke namespace Layanan Event Grid Anda
- Navigasikan ke ruang topik yang ingin Anda otorisasi aksesnya.
- Masuk ke halaman Kontrol akses (IAM) ruang topik
- Pilih tab Penetapan peran untuk melihat penetapan peran pada cakupan ini.
- Pilih + Tambahkan dan Tambahkan penetapan peran.
- Pada tab Peran, pilih peran "Penerbit Event Grid TopicSpaces".
- Pada tab Anggota, untuk Menetapkan akses ke, pilih Opsi pengguna, grup, atau perwakilan layanan untuk menetapkan peran yang dipilih ke satu atau beberapa perwakilan layanan (aplikasi).
- Pilih + Pilih anggota.
- Temukan dan pilih perwakilan layanan.
- Pilih Selanjutnya
- Pilih Tinjau + tetapkan pada tab Tinjau + tetapkan.
Catatan
Anda dapat mengikuti langkah serupa untuk menetapkan peran Pelanggan EventGrid TopicSpaces bawaan di cakupan ruang topik.
Langkah berikutnya
- Lihat Menerbitkan dan berlangganan pesan MQTT menggunakan Event Grid
- Untuk mempelajari selengkapnya tentang cara kerja Identitas Terkelola, Anda dapat merujuk pada Cara kerja identitas terkelola untuk sumber daya Azure dengan komputer virtual Azure - Microsoft Entra
- Untuk mempelajari selengkapnya tentang cara mendapatkan token dari ID Microsoft Entra, Anda dapat merujuk ke mendapatkan token Microsoft Entra
- Untuk mempelajari selengkapnya tentang pustaka klien Azure Identity, Anda dapat merujuk ke menggunakan pustaka klien Azure Identity
- Untuk mempelajari selengkapnya tentang menerapkan antarmuka untuk kredensial yang dapat menyediakan token, Anda dapat merujuk ke Antarmuka TokenCredential
- Untuk mempelajari selengkapnya tentang cara mengautentikasi menggunakan Azure Identity, Anda dapat merujuk ke contoh
- Jika Anda lebih suka menggunakan peran kustom, Anda dapat meninjau proses untuk membuat peran kustom