Dela via


Microsoft Entra JWT-autentisering och Azure RBAC-auktorisering för att publicera eller prenumerera på MQTT-meddelanden

Du kan autentisera MQTT-klienter med Microsoft Entra JWT för att ansluta till Event Grid-namnområdet. Du kan använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att göra det möjligt för MQTT-klienter med Microsoft Entra-identitet att publicera eller prenumerera på åtkomst till specifika ämnesutrymmen.

Viktigt!

  • Den här funktionen stöds endast när du använder MQTT v5-protokollversion
  • JWT-autentisering stöds endast för hanterade identiteter och tjänstens huvudnamn

Förutsättningar

Autentisering med Microsoft Entra JWT

Du kan använda MQTT v5 CONNECT-paketet för att tillhandahålla Microsoft Entra JWT-token för att autentisera klienten, och du kan använda MQTT v5 AUTH-paketet för att uppdatera token.

I CONNECT-paket kan du ange nödvändiga värden i följande fält:

Fält Värde
Autentiseringsmetod OAUTH2-JWT
Autentiseringsdata JWT-token

I AUTH-paket kan du ange nödvändiga värden i följande fält:

Fält Värde
Autentiseringsmetod OAUTH2-JWT
Autentiseringsdata JWT-token
Kod för autentiseringsorsak 25

Autentisera orsakskod med värdet 25 innebär omautentisering.

Kommentar

  • Målgrupp: "aud"-anspråk måste anges till "https://eventgrid.azure.net/".

Auktorisering för att bevilja åtkomstbehörigheter

En klient som använder Microsoft Entra ID-baserad JWT-autentisering måste ha behörighet att kommunicera med Event Grid-namnområdet. Du kan tilldela följande två inbyggda roller för att ge antingen publicerings- eller prenumerationsbehörigheter till klienter med Microsoft Entra-identiteter.

  • Använd rollen EventGrid TopicSpaces Publisher för att ge MQTT-meddelandeutgivaren åtkomst
  • Använd rollen EventGrid TopicSpaces-prenumerant för att ge MQTT-meddelandeprenumerant åtkomst

Du kan använda de här rollerna för att ge behörigheter för prenumeration, resursgrupp, Event Grid-namnområde eller Event Grid-ämnesområdesomfång.

Tilldela utgivarrollen till din Microsoft Entra-identitet i ämnesområdesomfånget

  1. Gå till Event Grid-namnområdet i Azure-portalen
  2. Navigera till det ämnesområde som du vill auktorisera åtkomst till.
  3. Gå till sidan Åtkomstkontroll (IAM) i ämnesområdet
  4. Välj fliken Rolltilldelningar om du vill visa rolltilldelningarna i det här omfånget.
  5. Välj + Lägg till och Lägg till rolltilldelning.
  6. På fliken Roll väljer du rollen "Event Grid TopicSpaces Publisher".
  7. På fliken Medlemmar för Tilldela åtkomst till väljer du Alternativet Användare, grupp eller tjänstens huvudnamn för att tilldela den valda rollen till ett eller flera tjänsthuvudnamn (program).
  8. Välj + Välj medlemmar.
  9. Leta upp och välj tjänstens huvudnamn.
  10. Välj Nästa
  11. Välj Granska + tilldela på fliken Granska + tilldela.

Kommentar

Du kan följa liknande steg för att tilldela den inbyggda rollen EventGrid TopicSpaces-prenumerant i ämnesområdesomfånget.

Nästa steg