Condividi tramite


Autenticazione JWT di Microsoft Entra e autorizzazione di Controllo degli accessi in base al ruolo di Azure per pubblicare o sottoscrivere messaggi MQTT

È possibile autenticare i client MQTT con Microsoft Entra JWT per connettersi allo spazio dei nomi di Griglia di eventi. È possibile usare il controllo degli accessi in base al ruolo di Azure per consentire ai client MQTT, con l'identità Microsoft Entra, di pubblicare o sottoscrivere l'accesso a spazi di argomenti specifici.

Importante

  • Questa funzionalità è supportata solo quando si usa la versione del protocollo MQTT v5
  • L'autenticazione JWT è supportata solo per le identità gestite e le entità servizio

Prerequisiti

Autenticazione con Microsoft Entra JWT

È possibile usare il pacchetto MQTT v5 CONNECT per fornire il token JWT di Microsoft Entra per autenticare il client ed è possibile usare il pacchetto MQTT v5 AUTH per aggiornare il token.

Nel pacchetto CONNECT è possibile specificare i valori obbligatori nei campi seguenti:

Campo Valore
Metodo di autenticazione OAUTH2-JWT
Dati di autenticazione Token JWT

Nel pacchetto AUTH è possibile specificare i valori obbligatori nei campi seguenti:

Campo Valore
Metodo di autenticazione OAUTH2-JWT
Dati di autenticazione Token JWT
Codice motivo di autenticazione 25

Autenticare il codice motivo con il valore 25 indica la riautenticazione.

Nota

  • Destinatari: l'attestazione "aud" deve essere impostata su "https://eventgrid.azure.net/".

Autorizzazione per concedere le autorizzazioni di accesso

Un client che usa l'autenticazione JWT basata su ID Microsoft Entra deve essere autorizzata a comunicare con lo spazio dei nomi di Griglia di eventi. È possibile assegnare i due ruoli predefiniti seguenti per fornire autorizzazioni di pubblicazione o sottoscrizione ai client con identità Microsoft Entra.

  • Usare il ruolo server di pubblicazione EventGrid TopicSpaces per fornire l'accesso al server di pubblicazione dei messaggi MQTT
  • Usare il ruolo Sottoscrittore EventGrid TopicSpaces per fornire l'accesso al sottoscrittore di messaggi MQTT

È possibile usare questi ruoli per fornire autorizzazioni nell'ambito della sottoscrizione, del gruppo di risorse, dello spazio dei nomi di Griglia di eventi o dello spazio degli argomenti di Griglia di eventi.

Assegnazione del ruolo di autore all'identità di Microsoft Entra nell'ambito topicspace

  1. Nella portale di Azure passare allo spazio dei nomi di Griglia di eventi
  2. Passare allo spazio argomenti a cui si vuole autorizzare l'accesso.
  3. Passare alla pagina Controllo di accesso (IAM) dello spazio argomenti
  4. Selezionare la scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.
  5. Selezionare + Aggiungi e Aggiungi assegnazione di ruolo.
  6. Nella scheda Ruolo selezionare il ruolo "Event Grid TopicSpaces Publisher".
  7. Nella scheda Membri selezionare l'opzione Utente, gruppo o entità servizio per assegnare il ruolo selezionato a una o più entità servizio (applicazioni).
  8. Seleziona + Seleziona membri.
  9. Trovare e selezionare le entità servizio.
  10. Selezionare Avanti.
  11. Selezionare Rivedi e assegna nella scheda Rivedi e assegna.

Nota

È possibile seguire passaggi simili per assegnare il ruolo predefinito Del Sottoscrittore EventGrid TopicSpaces nell'ambito dello spazio argomenti.

Passaggi successivi