Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'autenticazione client MQTT è il processo con cui la funzionalità broker MQTT in Griglia di eventi di Azure verifica l'identità di un client prima di consentire la connessione e lo scambio di messaggi. Il broker MQTT autentica i client durante l'handshake di connessione. L'autenticazione è un prerequisito per i controlli di autorizzazione che regolano le operazioni di pubblicazione e sottoscrizione.
Il broker MQTT supporta diverse modalità di autenticazione, quindi è possibile associare il metodo alle funzionalità del client, al percorso di distribuzione e al provider di identità.
Autenticazione basata su certificati
È possibile autenticare i client usando certificati firmati dall'autorità di certificazione (CA) o certificati autofirmato. Il broker MQTT valida il certificato del client durante l'handshake della connessione mutual TLS (mTLS).
Per altre informazioni, vedere Autenticazione client MQTT con certificati.
Autenticazione tramite Microsoft Entra ID
È possibile autenticare i client MQTT con un'identità Microsoft Entra usando un token WEB JSON (JWT) Microsoft Entra. Il controllo degli accessi basato sui ruoli di Azure (Azure RBAC) determina se il client può pubblicare in specifici spazi di argomenti o sottoscriverli. Questo metodo è adatto ai client eseguiti in Azure o in ambienti che possono acquisire token Microsoft Entra.
Per altre informazioni, vedere Autenticazione JWT di Microsoft Entra e autorizzazione del controllo degli accessi in base al ruolo di Azure per pubblicare o sottoscrivere messaggi MQTT.
Autenticazione JWT OAuth 2.0
È possibile autenticare i client MQTT usando JWT rilasciati da un provider di identità OpenID Connect (OIDC) di terze parti. Usare questo metodo per i client MQTT di cui non è stato effettuato il provisioning in Azure ma che hanno già un'identità in un provider di identità esterno.
Per altre informazioni, vedere Autenticare un client con JWT OAuth 2.0.
Autenticazione webhook personalizzata
L'autenticazione webhook consente agli endpoint HTTPS esterni, ad esempio un webhook o una funzione Azure che si controlla, per autenticare dinamicamente le connessioni MQTT. Il webhook convalida un JWT rilasciato da Microsoft Entra ID e restituisce la decisione di autenticazione allo spazio dei nomi di Event Grid. Usare questa modalità quando è necessario integrare il broker MQTT con sistemi di autenticazione personalizzati, provider di identità di terze parti o criteri di sicurezza aziendali.
Il flusso di autenticazione funziona come segue:
- Un client MQTT tenta di connettersi al namespace di Event Grid.
- Griglia di eventi invia i dettagli della connessione al webhook configurato.
- Il webhook valuta la richiesta di autenticazione e restituisce una risposta che consente o nega la connessione.
- Il webhook può includere metadati nella risposta. Griglia di eventi usa questi metadati per autorizzare i pacchetti MQTT successivi, che fornisce un controllo granulare sull'accesso agli argomenti e sulla pubblicazione di messaggi.
Per altre informazioni, vedere Eseguire l'autenticazione con il broker MQTT usando l'autenticazione webhook personalizzata.