Authorize requests to Azure Web PubSub resources with Microsoft Entra applications

Azure Web PubSub Service supports Microsoft Entra ID for authorizing requests with Microsoft Entra applications.

This article explains how to set up your resource and code to authenticate requests to the resource using a Microsoft Entra application.

Register an application in Microsoft Entra ID

The first step is to Register an application in Microsoft Entra ID:

After you register your application, you can find the Application (client) ID and Directory (tenant) ID values on the application's overview page. These GUIDs can be useful in the following steps.

Add credentials

After registering an app, you can add certificates, client secrets (a string), or federated identity credentials as credentials to your confidential client app registration. Credentials allow your application to authenticate as itself, requiring no interaction from a user at runtime, and are used by confidential client applications that access a web API.

• Добавление сертификата
• Добавление секрета клиента
• Добавление федеративных учетных данных

Добавление назначений ролей в портал Azure

This section shows how to assign a Web PubSub Service Owner role to a service principal or managed identity for a Web PubSub resource. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

Note

Роль можно назначить на любой уровень, включая группу администрирования, подписку, группу ресурсов или отдельный ресурс. Дополнительные сведения о области применения см. в разделе «Понимание области применения Azure RBAC».

1. In the Azure portal, go to your Web PubSub resource.

2. Выберите элемент управления доступом (IAM) на боковой панели.

3. Select Add>Add role assignment.

   

4. На вкладке "Роль" выберите владельца службы Web PubSub или другие встроенные роли Web PubSub зависит от вашего сценария.

   Должность	Описание	Вариант использования
   Владелец службы Web PubSub	Полный доступ к API контура данных, включая REST API для чтения и записи, а также API аутентификации.	Чаще всего используется для создания вышестоящего сервера, обрабатывающего запросы переговоров и события клиента.
   Web PubSub Service Reader	Readonly access to data-plane APIs.	Use it when write a monitoring tool that calls readonly REST APIs.

5. Нажмите кнопку "Далее".

6. Для приложения Microsoft Entra.

   1. In the Assign access to row, select User, group, or service principal.
   2. In the Members row, click select members, then choose the identity in the pop-up window.

7. Для управляемой идентификации в ресурсах Azure.

   1. In the Assign access to row, select Managed identity.
   2. В строке Members щелкните select membersи выберите приложение во всплывающем окне.

8. Нажмите кнопку "Далее".

9. Проверьте назначение, а затем нажмите кнопку "Проверить и назначить ", чтобы подтвердить назначение роли.

Important

Для распространения новых добавленных назначений ролей может потребоваться до 30 минут.

Дополнительные сведения о назначении ролей Azure и управлении ими см. в следующих статьях:

• Назначение ролей Azure с помощью портала Azure
• Назначение ролей Azure с помощью REST API
• Назначение ролей Azure с помощью Azure PowerShell
• Назначение ролей Azure с помощью Azure CLI
• Назначение ролей Azure с помощью шаблонов Azure Resource Manager

Примеры кода с авторизацией Microsoft Entra

Ознакомьтесь с нашими примерами, которые показывают, как использовать авторизацию Microsoft Entra на языках программирования, которые мы официально поддерживаем.

• C#
• Python
• Java
• JavaScript

Related content

• Overview of Microsoft Entra ID for Web PubSub
• Use Microsoft Entra ID to authorize a request from a managed identity to Web PubSub resources
• Disable local authentication