Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il servizio Web PubSub di Azure consente l'autorizzazione delle richieste alle risorse Web PubSub di Azure usando Microsoft Entra ID.
Usando il controllo degli accessi in base al ruolo (RBAC) con Microsoft Entra ID, le autorizzazioni possono essere concesse a un'entità di sicurezza[1]. Microsoft Entra autorizza questa entità di sicurezza e restituisce un token OAuth 2.0, che le risorse Web PubSub possono quindi usare per autorizzare una richiesta.
L'uso di Microsoft Entra ID per l'autorizzazione delle richieste Web PubSub offre una maggiore sicurezza e facilità d'uso rispetto all'autorizzazione della chiave di accesso. Microsoft consiglia di utilizzare l'autorizzazione Microsoft Entra con le risorse Web PubSub quando possibile per garantire l'accesso con i privilegi minimi necessari.
[1] Entità di sicurezza: un utente/gruppo di risorse, un'applicazione o un'entità servizio, ad esempio identità assegnate dal sistema e identità assegnate dall'utente.
Panoramica di Microsoft Entra ID per Web PubSub
L'autenticazione è necessaria per accedere a una risorsa PubSub Web quando si usa Microsoft Entra ID. Questa autenticazione prevede due passaggi:
- Prima di tutto, Azure autentica l'entità di sicurezza e rilascia un token OAuth 2.0.
- In secondo luogo, il token viene aggiunto alla richiesta alla risorsa Web PubSub. Il servizio Web PubSub usa il token per verificare se l'entità servizio ha accesso alla risorsa.
Autenticazione lato client durante l'uso dell'ID Microsoft Entra
Il server di negoziazione/App per le funzioni condivide una chiave di accesso con la risorsa Web PubSub, consentendo al servizio Web PubSub di autenticare le richieste di connessione client usando i token client generati dalla chiave di accesso.
Tuttavia, la chiave di accesso viene spesso disabilitata quando si usa Microsoft Entra ID per migliorare la sicurezza.
Per risolvere questo problema, è stata sviluppata un'API REST che genera un token client. Questo token può essere usato per connettersi al servizio PubSub Web di Azure.
Per usare questa API, il server di negoziazione deve prima ottenere un token Entra Microsoft da Azure per autenticarsi. Il server può quindi chiamare l'API Web PubSub Auth con il token Microsoft Entra per recuperare un token client. Il token client viene quindi restituito al client, che può usarlo per connettersi al servizio PubSub Web di Azure.
Sono disponibili funzioni helper (ad esempio "GenerateClientAccessUri) per i linguaggi di programmazione supportati.
Assegnare ruoli di Azure per i diritti di accesso
Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Web PubSub di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere alle risorse Web PubSub. È anche possibile definire ruoli personalizzati per l'accesso alle risorse Web PubSub.
Ambito della risorsa
Prima di assegnare un ruolo RBAC di Azure a un principale di sicurezza, è importante identificare il livello di accesso appropriato di cui il principale ha bisogno. È consigliabile concedere il ruolo all'ambito più limitato. Le risorse all'interno ereditano i ruoli di Controllo degli accessi in base al ruolo di Azure assegnati all'ambito.
È possibile definire l'ambito dell'accesso alle risorse Web PubSub di Azure ai livelli seguenti, a partire dall'ambito più ristretto:
Una singola risorsa.
In questo ambito, un'assegnazione di ruolo si applica solo alla risorsa di destinazione.
Gruppo di risorse.
In questo ambito, un'assegnazione di ruolo si applica a tutte le risorse nel gruppo di risorse.
Una sottoscrizione.
In questo ambito, un'assegnazione di ruolo si applica a tutte le risorse in tutti i gruppi di risorse nella sottoscrizione.
Gruppo di gestione.
In questo ambito, un'assegnazione di ruolo si applica a tutte le risorse in tutti i gruppi di risorse in tutte le sottoscrizioni nel gruppo di gestione.
Ruoli predefiniti di Azure per le risorse Web PubSub
| Ruolo | Descrizione | caso d'uso |
|---|---|---|
| Proprietario del servizio Web PubSub | Accesso completo alle API del piano dati, incluse le API REST di lettura/scrittura e le API di autenticazione. | Usato più comunemente per la creazione di un server upstream che gestisce le richieste di negoziazione e gli eventi client. |
| Lettore del servizio Web PubSub | Accesso in sola lettura alle API del piano dati. | Usarlo quando si scrive uno strumento di monitoraggio che chiama le API REST di sola lettura. |
Informazioni su come creare un ruolo personalizzato se i ruoli predefiniti non soddisfano i requisiti.
Ruoli personalizzati di Azure: passaggi per creare un ruolo personalizzato
Passaggi successivi
Per informazioni su come usare l'autenticazione di Microsoft Entra con il controllo degli accessi in base al ruolo, vedere
- Autorizzare le richieste alle risorse Web PubSub di Azure con le applicazioni Microsoft Entra
- Autorizzare le richieste alle risorse PubSub Web di Azure con identità gestite per le risorse di Azure
Per altre informazioni sul controllo degli accessi in base ai ruoli, vedere
Per informazioni su come disabilitare la stringa di connessione e usare solo l'autenticazione di Microsoft Entra, vedere