Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die MQTT-Clientauthentifizierung ist der Prozess, mit dem das MQTT-Broker-Feature in Azure Event Grid die Identität eines Clients überprüft, bevor er es erlaubt, Verbindungen herzustellen und Nachrichten auszutauschen. Der MQTT-Broker authentifiziert Clients während des Verbindungs-Handshake. Die Authentifizierung ist eine Voraussetzung für die Autorisierungsprüfungen, die Veröffentlichungs- und Abonnierenvorgänge regeln.
Der MQTT-Broker unterstützt mehrere Authentifizierungsmodi, sodass Sie die Methode mit den Funktionen, dem Bereitstellungsort und dem Identitätsanbieter Ihres Clients abgleichen können.
Zertifikatbasierte Authentifizierung
Sie können Clients mithilfe von von Zertifizierungsstelle signierten Zertifikaten oder selbstsignierten Zertifikaten authentifizieren. Der MQTT-Broker überprüft das Clientzertifikat als Teil des mTLS-Verbindungs-Handshakes (Mutual TLS).
Weitere Informationen finden Sie unter MQTT-Clientauthentifizierung mit Zertifikaten.
Microsoft Entra ID-Authentifizierung
Sie können MQTT-Clients authentifizieren, die über eine Microsoft Entra Identität verfügen, indem Sie ein Microsoft Entra JSON Web Token (JWT) verwenden. Azure rollenbasierte Zugriffssteuerung (Azure RBAC) bestimmt, ob der Client bestimmte Themenbereiche veröffentlichen oder abonnieren kann. Diese Methode eignet sich für Clients, die in Azure oder in Umgebungen ausgeführt werden, die Microsoft Entra Token abrufen können.
Weitere Informationen finden Sie unter Microsoft Entra JWT-Authentifizierung und Azure RBAC-Autorisierung für das Veröffentlichen oder Abonnieren von MQTT-Nachrichten.
OAuth 2.0 JWT-Authentifizierung
Sie können MQTT-Clients mithilfe von JWTs authentifizieren, die von einem OIDC-Identitätsanbieter (OpenID Connect) eines Drittanbieters ausgestellt wurden. Verwenden Sie diese Methode für MQTT-Clients, die nicht in Azure bereitgestellt werden, aber bereits über eine Identität in einem externen Identitätsanbieter verfügen.
Weitere Informationen finden Sie unter Authentifizieren eines Clients mithilfe von OAuth 2.0 JWT.
Benutzerdefinierte Webhook-Authentifizierung
Die Webhook-Authentifizierung ermöglicht externen HTTPS-Endpunkten, z. B. einem Webhook oder einer Azure Funktion, die Sie steuern, die dynamische Authentifizierung von MQTT-Verbindungen. Der Webhook überprüft ein von Microsoft Entra ID ausgestelltes JWT und gibt die Authentifizierungsentscheidung an den Event Grid-Namespace zurück. Verwenden Sie diesen Modus, wenn Sie den MQTT-Broker in benutzerdefinierte Authentifizierungssysteme, Identitätsanbieter von Drittanbietern oder Unternehmenssicherheitsrichtlinien integrieren müssen.
Der Authentifizierungsfluss funktioniert wie folgt:
- Ein MQTT-Client versucht, eine Verbindung mit dem Event Grid-Namespace herzustellen.
- Ereignisraster sendet die Verbindungsdetails an den konfigurierten Webhook.
- Der Webhook wertet die Authentifizierungsanforderung aus und gibt eine Antwort zurück, die die Verbindung zulässt oder verweigert.
- Der Webhook kann Metadaten in der Antwort enthalten. Event Grid verwendet diese Metadaten, um nachfolgende MQTT-Pakete zu autorisieren, die eine differenzierte Kontrolle über den Zugriff auf Themen und die Veröffentlichung von Nachrichten bieten.
Weitere Informationen finden Sie unter Authentifizieren mit dem MQTT-Broker mithilfe der benutzerdefinierten Webhook-Authentifizierung.