Özel webhook kimlik doğrulaması kullanarak MQTT broker ile kimlik doğrulayın

Bu makalede, web kancası veya Azure işlevi kullanarak Azure Event Grid ad alanlarıyla kimlik doğrulaması yapmayı öğreneceksiniz.

Web kancası kimlik doğrulaması, dış HTTP uç noktalarının (web kancaları veya işlevler) Message Queuing Telemetri Aktarımı (MQTT) bağlantılarının dinamik olarak kimliğini doğrulamasını sağlar. Bu yöntem, güvenli erişim sağlamak için Microsoft Entra ID JSON Web Belirteci doğrulamasını kullanır.

İstemci bağlanmaya çalıştığında, aracı Paylaşılan Erişim İmzası belirteçleri, kullanıcı adları ve parolalar gibi kimlik bilgilerini doğrulayan, hatta Sertifika İptal Listesi denetimleri gerçekleştiren kullanıcı tanımlı bir HTTP uç noktasını çağırır. Web kancası isteği değerlendirir ve ayrıntılı yetkilendirme için isteğe bağlı meta verilerin yanı sıra bağlantıya izin verme veya bağlantıyı reddetme kararı döndürür. Bu yaklaşım, farklı cihaz filoları ve kullanım örnekleri arasında esnek ve merkezi kimlik doğrulama ilkelerini destekler.

Önkoşullar

  • Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliğe sahip bir Event Grid ad alanı.
  • Harici bir webhook veya Azure işlevi.
  • Event Grid ad alanının yönetilen kimliğine Azure işlevine veya web kancasına erişim izni verilir.

Üst düzey adımlar

Ad alanları için özel web kancası kimlik doğrulaması kullanmak için şu adımları izleyin:

  1. Bir ad alanı oluşturun ve alt kaynaklarını yapılandırın.
  2. Event Grid ad alanınızda yönetilen kimliği etkinleştirin.
  3. Yönetilen kimliğe Azure işlevinize veya web kancanıza erişim izni verin.
  4. Event Grid ad alanınızda özel web kancası ayarlarını yapılandırın.
  5. İstemcilerinizi Event Grid ad alanına bağlayın ve web kancası veya işlevi aracılığıyla kimlik doğrulamasından geçin.

Ad alanı oluşturma ve alt kaynaklarını yapılandırma

Ad alanı oluşturmak ve alt kaynaklarını yapılandırmak için Hızlı Başlangıç: Azure portalıyla Event Grid ad alanında MQTT iletilerini yayımlama ve abone olma başlığı altındaki yönergeleri izleyin. İstemci kimlikleri sağlanan belirteçten geldiğinden sertifika ve istemci oluşturma adımlarını atlayın. İstemci öznitelikleri, istemci belirtecindeki özel talepleri temel alır. İstemci öznitelikleri istemci grubu sorgusunda, konu şablonu değişkenlerinde ve yönlendirme zenginleştirme yapılandırmasında kullanılır.

Event Grid ad alanınızda yönetilen kimliği etkinleştirme

Event Grid ad alanınızda sistem tarafından atanan yönetilen kimliği etkinleştirmek için aşağıdaki komutu kullanın:

az eventgrid namespace update --resource-group <resource group name> --name <namespace name> --identity "{type:systemassigned}"

Azure portalını kullanarak sistem ve kullanıcı tarafından atanan kimlikleri yapılandırma hakkında bilgi için bkz. Event Grid ad alanı için yönetilen kimliği etkinleştirme.

Uygulamalar

Seçenek 1: Azure İşlevleri aracılığıyla Webhook uygulaması (Microsoft Entra Uygulaması)

Azure İşlevleri, belirteci otomatik olarak doğrulamak için Microsoft.Identity.Web kullanarak web kancası mantığını barındırabilir. Web kancası API'sinin Event Grid çağıran belirteçlerini doğrulaması için bir Microsoft Entra uygulama kaydına ihtiyacınız var. Uygulama kaydı, belirteç verme işlemi için bir Uygulama Kimliği URI'sine sahiptir. İstemci tarafı (Event Grid) zaten bir yönetilen kimliğe sahip.

Avantajlar:

  • Yönetecek altyapı yok
  • Yerleşik kimlik doğrulama yardımcıları (Microsoft.Identity.Web)
  • Dayanıklı, ölçeklenebilir, uygun maliyetli

İşlev aşağıdaki işlemleri yapmalıdır:

  • Event Grid yönetilen kimliğinden çağırıcı belirtecini doğrulayın.
  • İstemci JSON Web Belirtecini (JWT) doğrulayın.
  • "İzin veren veya reddeden bir JSON yanıtı döndür."

Seçenek 2: Dış HTTPS uç noktası uygulaması

Bu uygulama, Microsoft.IdentityModel kitaplıkları kullanılarak Microsoft Entra ID JWT doğrulaması ile herhangi bir dış HTTPS Uç Noktası (herhangi bir bulut altyapısı veya arka uç sistem) olarak gerçekleştirilebilir.

Herhangi bir çalışma zamanını kullanın: .NET, Node.js, Java veya Python.

Temel gereksinimler:

  • Uç nokta HTTPS olmalıdır.

  • Çağıran JWT'yi doğrulamalıdır.

  • Cihaz JWT'sini doğrulamalıdır.

  • Zaman aşımı süresi içinde yanıt vermesi gerekir (yaklaşık 5 saniye önerilir).

    Özel web kancası uygulamalarını gösteren diyagram.

Yönetilen kimliğe bir işleve veya web kancasına uygun erişim verme

Event Grid ad alanınızın yönetilen kimliğine hedef Azure işlevine veya web kancasına uygun erişimi verin.

Azure işlevi için özel kimlik doğrulaması ayarlamak için sonraki adımları izleyin.

Microsoft Entra uygulaması oluşturma

  1. Microsoft Entra Id'de bir Microsoft Entra uygulaması oluşturun.

  2. Uygulamanın Genel Bakış sayfasında Uygulama (istemci) Kimliği değerini not edin.

    Uygulama (istemci) kimliği vurgulanmış bir Microsoft Entra ID uygulamasının Genel Bakış sayfasını gösteren ekran görüntüsü.

  3. Soldaki menüden API'yi kullanıma sunma'yı seçin. Uygulama Kimliği URI'si'nin yanında Ekle'yi seçin.

  4. Uygulama kimliği URI'sini düzenle bölmesinde Uygulama Kimliği URI değerini not edin ve kaydet'i seçin.

    Microsoft Entra uygulamasının uygulama kimliği URI'sini gösteren ekran görüntüsü.

Azure işlevi için kimlik doğrulamasını ayarlama

Azure portalından oluşturulmuş temel bir Azure işlevine sahipseniz, kimlik doğrulamasını ayarlayın ve yönetilen kimlik kullanılarak oluşturulan Microsoft Entra Id belirtecini doğrulayın.

  1. Azure İşlevleri uygulamanıza gidin.

  2. Sol menüde Kimlik Doğrulaması'nı ve ardından Kimlik sağlayıcısı ekle'yi seçin.

    Kimlik Doğrulama sayfasını gösteren ekran görüntüsü.

  3. Kimlik sağlayıcısı ekle sayfasında, Kimlik Sağlayıcısı için açılan listeden Microsoft'u seçin.

  4. Uygulama kaydı bölümünde, aşağıdaki özellikler için değerleri belirtin:

    1. Uygulama (istemci) Kimliği: Daha önce not ettiğiniz Microsoft Entra uygulamasının istemci kimliğini girin.

    2. Veren URL'si: Veren URL'sini biçiminde https://login.microsoftonline.com/<tenantid>/v2.0ekleyin.

      Kimlik sağlayıcısı olarak Microsoft ile kimlik sağlayıcısı ekleme işlemini gösteren ekran görüntüsü.

  5. Belirteç izin verilen izleyiciler bölümünde izin verilen belirteç hedef kitlelerini girin. Açık olmak gerekirse, daha önce not ettiğiniz Microsoft Entra uygulamasının Uygulama Kimliği URI'sini girin. Belirteç kitlesi, Event Grid'den gelen belirteci doğrulamak için kullanılır.

  6. Ek denetimler bölümünde şu adımları izleyin:

    1. İstemci uygulaması gereksinimi için belirli istemci uygulamalarından gelen izin verilen istekler'i seçin ve daha önce not ettiğiniz uygulama kimliğini girin.

    2. Kimlik gereksinimi için Herhangi bir kimlikten gelen isteklere izin ver'i seçin.

      Belirteç hedef kitlesi ve ek denetimlerle birlikte kimlik sağlayıcısı eklemeyi gösteren ekran görüntüsü.

  7. App Service kimlik doğrulama ayarları bölümünde şu adımları izleyin:

    1. Erişimi kısıtla için Kimlik doğrulaması gerektir'i seçin.

    2. Kimliği Doğrulanmamış istekler için HTTP 401 Yetkisiz Döndür'e tıklayın.

      App Service kimlik doğrulama ayarlarını gösteren ekran görüntüsü.

  8. Özel gereksinimlerinize göre diğer ayarları seçin ve ardından Ekle'yi seçin.

Microsoft Entra ID belirtecini oluşturma ve kullanma

Şimdi Microsoft Entra ID belirtecini oluşturun ve kullanın.

  1. Kaynak olarak uygulama kimliği URI'si (api://<ClientID>) ile yönetilen kimliği kullanarak bir Microsoft Entra Id belirteci oluşturun.
  2. Azure işlevini istek üst bilgisine ekleyerek çağırmak için bu belirteci kullanın.

Event Grid ad alanınızda özel web kancası kimlik doğrulama ayarlarını yapılandırma

Azure portalını ve Azure CLI'yi kullanarak Event Grid ad alanınızda özel web kancası kimlik doğrulaması ayarlarını yapılandırın. Önce ad alanını oluşturur ve sonra güncelleştirirsiniz.

Azure portal’ı kullanma

  1. Azure portalında Event Grid ad alanınıza gidin.

  2. Event Grid Ad Alanı sayfasında, soldaki menüden Yapılandırma'yı seçin.

  3. Özel Web Kancası kimlik doğrulaması bölümünde aşağıdaki özellikler için değerleri belirtin:

    1. Yönetilen kimlik türü: Kullanıcı tarafından atanan seçin.
    2. Web kancası URL'si: Event Grid hizmetinin belirtilen yönetilen kimliği kullanarak kimliği doğrulanmış web kancası isteklerini gönderdiği URL uç noktasının değerini girin.
    3. Belirteç izleyicisi URI'si: Erişim belirtecinin teslim isteklerine taşıyıcı belirteç olarak eklenmesini sağlamak için Microsoft Entra uygulama kimliğinin veya URI'sinin değerini girin.
    4. Microsoft Entra ID kiracı kimliği: Kimliği doğrulanmış bir webhook teslimi için taşıyıcı belirtecin edinilmesinde kullanılan Microsoft Entra kiracı kimliğinin değerini girin.

  4. seçin, sonra daUygula'yı seçin.

    Event Grid ad alanı için web kancası kimlik doğrulaması yapılandırmasını gösteren ekran görüntüsü.

Azure CLI'yi kullanma

Ad alanınızı özel web kancası kimlik doğrulaması yapılandırmasıyla güncelleştirmek için aşağıdaki komutu kullanın:

az eventgrid namespace update \ 
    --resource-group <resource-group-name> \ 
    --name <namespace-name> \ 
    --api-version 2025-04-01-preview \ 
    --identity-type UserAssigned \ 
    --identity-user-assigned-identities "/subscriptions/XXXXXXXXXXX/resourcegroups/XXXXXXXXXXX/providers/Microsoft.ManagedIdentity/userAssignedIdentities/XXXXXXXXXXX={}" \ 
    --set properties.isZoneRedundant=true \ 
        properties.topicSpacesConfiguration.state=Enabled \ 
        properties.topicSpacesConfiguration.clientAuthentication.webHookAuthentication.identity.type=UserAssigned \ 
        properties.topicSpacesConfiguration.clientAuthentication.webHookAuthentication.identity.userAssignedIdentity="/subscriptions/XXXXXXXXXXX/resourcegroups/XXXXXXXXXXX/providers/Microsoft.ManagedIdentity/userAssignedIdentities/XXXXXXXXXXX" \ 
        properties.topicSpacesConfiguration.clientAuthentication.webHookAuthentication.endpointUrl="https://XXXXXXXXXXX" \ 
        properties.topicSpacesConfiguration.clientAuthentication.webHookAuthentication.azureActiveDirectoryApplicationIdOrUri="api://XXXXXXXXXXX/.default" \ 
        properties.topicSpacesConfiguration.clientAuthentication.webHookAuthentication.azureActiveDirectoryTenantId="XXXXXXXXXXX"

ve <NAMESPACE_NAME> değerlerini gerçek değerlerinizle değiştirin<RESOURCE_GROUP_NAME>. Abonelik, kimlik, kaynak grubu, uygulama kimliği, URL ve kiracı kimliği gibi alanlardaki yer tutucuları doldurun. Event Grid MQTT aracısı için web kancası tabanlı kimlik doğrulamasının performansını ve güvenilirliğini artırmak için web kancası uç noktanız için HTTP/2 desteğini etkinleştirmenizi öneririz.

Webhook API ayrıntıları

İstek başlıkları

Azure Event Grid istekte aşağıdaki üst bilgileri web kancasına gönderir:

Authorization: Bearer <token>

Belirteç, web kancasını çağırmak üzere yapılandırılmış yönetilen kimlik için bir Microsoft Entra belirtecidir.

İstek veri yükü

{
    "clientId": "<string>",
    "userName": "<string>",
    "password": "<base64 encoded bytes>",
    "authenticationMethod": "<string>",
    "authenticationData": "<base64 encoded bytes>",
    "clientCertificate": "<certificate in PEM format>",
    "clientCertificateChain": "<certificates from chain in PEM format>"
}

Payload alanı açıklamaları

Alan Gerekli/İsteğe Bağlı Açıklama
clientId Gerekli MQTT CONNECT paketinden istemci kimliği.
userName Opsiyonel MQTT CONNECT paketinden kullanıcı adı.
password Opsiyonel Base64 kodlamasında MQTT CONNECT paketinden parola.
authenticationMethod Opsiyonel MQTT CONNECT paketinden kimlik doğrulama yöntemi (yalnızca MQTT5).
authenticationData Opsiyonel Base64 kodlamasında MQTT CONNECT paketinden kimlik doğrulama verileri (yalnızca MQTT5).
clientCertificate Opsiyonel Privacy-Enhanced Mail (PEM) formatında istemci sertifikası.
clientCertificateChain Opsiyonel İstemci tarafından sağlanan diğer sertifikalar, istemci sertifikasından Sertifika Yetkilisi sertifikasına zinciri oluşturmak için gereklidir.

Yanıt yükü

Başarılı yanıt

HTTP/1.1 200 OK 
Content-Type: application/json 

{ 
    "decision": "allow", 
    "clientAuthenticationName": "<string>", 
    "attributes": { 
        "attr": "<int/string/array_of_strings>", 
        ... 
    }, 
    "expiration": "<unix time format>" 
}

Yanıt reddedildi

HTTP/1.1 200 OK 
Content-Type: application/json 

{ 
    "decision": "deny", 
    "errorReason": "<string>" 
}

Hata kodları:

Kimlik doğrulama sonucu İşlev yanıtı Event Grid MQTT neden kodu
Açık yetkilendirme reddi "decision": "deny" Yetkili değil
Geçersiz / süresi dolmuş belirteç "decision": "deny" Yetkili değil
İşlev zaman aşımı Mevcut Değil Sunucu kullanılamıyor
İşlev hatası / kilitlenme Mevcut Değil Sunucu kullanılamıyor
Geçici platform hatası Mevcut Değil Sunucu kullanılamıyor
İç aracı işleme hatası Mevcut Değil Sunucu kullanılamıyor

Yanıt alanı açıklamaları

Alan Türü Gerekli Olduğunda Açıklama
decision dize (allow | deny) Her zaman gerekli Hizmet tarafından döndürülen kimlik doğrulama karar işlemi. İzin verilen değerler allow veya deny şeklindedir.
clientAuthenticationName Dize Gerekli ise decision = allow İstemcinin kimlik adı (örneğin, cihaz kimliği veya istemci kimliği).
attributes nesne (sözlük) İsteğe bağlı decision = allow Ek öznitelikleri temsil eden anahtar-değer çiftleri. Değerler int, dize veya dize dizisi olabilir.
expiration integer (Unix zaman damgası, saniye) İsteğe bağlı decision = allow Yetkilendirme kararının sona erme zamanı, Unix zamanı (epoch'tan bu yana geçen saniyeler) olarak ifade edilir. Örnek: 1713782400.
errorReason Dize İsteğe bağlı decision = deny İsteğin neden reddedildiğini açıklayan hata iletisi. Bu değer tanılama için günlüğe kaydedilir.

Desteklenen öznitelik türleri örnekleri

"num_attr_pos": 1, 
"num_attr_neg": -1, 
"str_attr": "str_value", 
"str_list_attr": [ 
    "str_value_1", 
    "str_value_2" 
]

Tüm doğru veri türleri (uygun <int32/string/array_of_strings>sayı) öznitelik olarak kullanılır. Örnekte, num_attr_pos, num_attr_neg, str_attrve str_list_attr talepleri doğru veri türlerine sahiptir ve öznitelik olarak kullanılır.

İlgili içerik

  • Last updated on