Microsoft Entra JWT-verificatie en Azure RBAC-autorisatie voor het publiceren of abonneren van MQTT-berichten
U kunt MQTT-clients verifiëren met Microsoft Entra JWT om verbinding te maken met de Event Grid-naamruimte. U kunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om MQTT-clients, met Microsoft Entra-identiteit, toegang tot specifieke onderwerpruimten te publiceren of te abonneren.
Belangrijk
- Deze functie wordt alleen ondersteund bij het gebruik van de MQTT v5-protocolversie
- JWT-verificatie wordt alleen ondersteund voor beheerde identiteiten en service-principals
Vereisten
- U hebt een Event Grid-naamruimte nodig waarvoor MQTT is ingeschakeld. Meer informatie over het maken van Event Grid-naamruimte
Verificatie met Microsoft Entra JWT
U kunt het MQTT v5 CONNECT-pakket gebruiken om het Microsoft Entra JWT-token op te geven om uw client te verifiëren en u kunt het MQTT v5 AUTH-pakket gebruiken om het token te vernieuwen.
In CONNECT-pakket kunt u vereiste waarden opgeven in de volgende velden:
| Veld | Waarde |
|---|---|
| Authenticatiemethode | OAUTH2-JWT |
| Verificatiegegevens | JWT-token |
In het AUTH-pakket kunt u vereiste waarden opgeven in de volgende velden:
| Veld | Waarde |
|---|---|
| Authenticatiemethode | OAUTH2-JWT |
| Verificatiegegevens | JWT-token |
| Redencode voor verificatie | 25 |
Redencode verifiëren met waarde 25 geeft opnieuw verificatie aan.
Notitie
- Doelgroep: "aud" claim moet worden ingesteld op "https://eventgrid.azure.net/".
Autorisatie voor het verlenen van toegangsmachtigingen
Een client die gebruikmaakt van JWT-verificatie op basis van Microsoft Entra ID moet zijn gemachtigd om te communiceren met de Event Grid-naamruimte. U kunt de volgende twee ingebouwde rollen toewijzen om machtigingen voor publiceren of abonneren te bieden aan clients met Microsoft Entra-identiteiten.
- De rol EventGrid TopicSpaces Publisher gebruiken om uitgeverstoegang voor MQTT-berichten te bieden
- De rol EventGrid TopicSpaces Subscriber gebruiken om toegang te bieden tot MQTT-berichtenabonnee
U kunt deze rollen gebruiken om machtigingen op te geven voor abonnement, resourcegroep, Event Grid-naamruimte of Event Grid-onderwerpruimtebereik.
De uitgeversrol toewijzen aan uw Microsoft Entra-identiteit op onderwerpruimtebereik
- Navigeer in Azure Portal naar uw Event Grid-naamruimte
- Navigeer naar de onderwerpruimte waarnaar u toegang wilt autoriseren.
- Ga naar de pagina Toegangsbeheer (IAM) van de onderwerpruimte
- Selecteer het tabblad Roltoewijzingen om de roltoewijzingen voor dit bereik weer te geven.
- Selecteer + Toevoegen en Roltoewijzing toevoegen .
- Selecteer op het tabblad Rol de rol Event Grid TopicSpaces Publisher.
- Selecteer op het tabblad Leden de optie Gebruiker, groep of service-principal toewijzen om de geselecteerde rol toe te wijzen aan een of meer service-principals (toepassingen).
- Selecteer + Leden selecteren.
- Zoek en selecteer de service-principals.
- Selecteer Volgende
- Selecteer Beoordelen en toewijzen op het tabblad Beoordelen en toewijzen.
Notitie
U kunt vergelijkbare stappen volgen om de ingebouwde rol EventGrid TopicSpaces Subscriber toe te wijzen op het bereik van de onderwerpruimte.
Volgende stappen
- Zie Publiceren en abonneren op MQTT-bericht met Event Grid
- Voor meer informatie over hoe beheerde identiteiten werken, raadpleegt u Hoe beheerde identiteiten voor Azure-resources werken met virtuele Azure-machines - Microsoft Entra
- Voor meer informatie over het verkrijgen van tokens van Microsoft Entra ID, kunt u verwijzen naar het verkrijgen van Microsoft Entra-tokens
- Raadpleeg de Azure Identity-clientbibliotheek voor meer informatie over de Azure Identity-clientbibliotheek
- Voor meer informatie over het implementeren van een interface voor referenties die een token kunnen bieden, kunt u verwijzen naar TokenCredential Interface
- Raadpleeg voorbeelden voor meer informatie over het verifiëren met behulp van Azure Identity
- Als u liever aangepaste rollen gebruikt, kunt u het proces controleren om een aangepaste rol te maken