Проверка подлинности Microsoft Entra JWT и авторизация Azure RBAC для публикации или подписки на сообщения MQTT

  • Статья

Клиенты MQTT можно пройти проверку подлинности с помощью Microsoft Entra JWT, чтобы подключиться к пространству имен Сетки событий. Вы можете использовать управление доступом на основе ролей Azure (Azure RBAC) для включения клиентов MQTT с удостоверением Microsoft Entra для публикации или подписки на доступ к определенным темам.

Важно!

  • Эта функция поддерживается только при использовании версии протокола MQTT версии 5
  • Проверка подлинности JWT поддерживается только для управляемых удостоверений и субъектов-служб

Необходимые компоненты

Проверка подлинности с помощью Microsoft Entra JWT

Пакет MQTT версии 5 CONNECT можно использовать для предоставления маркера Microsoft Entra JWT для проверки подлинности клиента и использовать пакет auTH MQTT версии 5 для обновления маркера.

В пакете CONNECT можно указать необходимые значения в следующих полях:

Поле значение
Метод проверки подлинности OAUTH2-JWT
Данные проверки подлинности Токен JWT

В пакете AUTH можно указать необходимые значения в следующих полях:

Поле значение
Метод проверки подлинности OAUTH2-JWT
Данные проверки подлинности Токен JWT
Код причины проверки подлинности 25

Проверка подлинности в коде причины со значением 25 означает повторную проверку подлинности.

Примечание.

  • Аудитория: утверждение "aud" должно иметь значение "https://eventgrid.azure.net/".

Авторизация для предоставления разрешений на доступ

Клиент, использующий проверку подлинности JWT на основе идентификатора Microsoft Entra, должен быть авторизован для обмена данными с пространством имен Сетки событий. Вы можете назначить следующие две встроенные роли для предоставления разрешений на публикацию или подписку клиентам с удостоверениями Microsoft Entra.

  • Использование роли издателя EventGrid TopicSpaces для предоставления доступа издателя сообщений MQTT
  • Использование роли подписчика EventGrid TopicSpaces для предоставления доступа подписчика к сообщению MQTT

Эти роли можно использовать для предоставления разрешений на подписку, группу ресурсов, пространство имен Сетки событий или пространство разделов сетки событий область.

Назначение роли издателя удостоверению Microsoft Entra в пространстве тем область

  1. В портал Azure перейдите к пространству имен Сетки событий
  2. Перейдите к пространству разделов, к которому требуется авторизовать доступ.
  3. Перейдите на страницу управления доступом (IAM) пространства тем
  4. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.
  5. Выберите +Добавить и добавить назначение ролей.
  6. На вкладке "Роль" выберите роль "Издатель Разделов сетки событий".
  7. На вкладке "Участники" для назначения доступа, выберите "Пользователь", "Группа" или "Субъект-служба", чтобы назначить выбранную роль одному или нескольким субъектам-службам (приложениям).
  8. Выберите + Выбрать участников.
  9. Найдите и выберите субъекты-службы.
  10. Выберите Далее
  11. Выберите "Рецензирование" и " Назначить " на вкладке "Проверка и назначение".

Примечание.

Вы можете выполнить аналогичные действия, чтобы назначить встроенную роль подписчика EventGrid TopicSpaces в область тем.

Следующие шаги