الوصول إلى تكوين تطبيق Azure باستخدام معرف Microsoft Entra

يدعم تكوين Azure App تخويل الطلبات إلى مخازن App Configuration باستخدام معرف Microsoft Entra. باستخدام معرف Microsoft Entra، يمكنك الاستفادة من التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) لمنح أذونات لأساسيات الأمان، والتي يمكن أن تكون أساسيات المستخدم أو الهويات المدارة أو أساسيات الخدمة.

نظرة عامة

يتضمن الوصول إلى متجر App Configuration باستخدام معرف Microsoft Entra خطوتين:

1. المصادقة: احصل على رمز مميز لمدير الأمان من معرف Microsoft Entra لتكوين التطبيق. لمزيد من المعلومات، راجع مصادقة Microsoft Entra في تكوين التطبيق.

2. التخويل: قم بتمرير الرمز المميز كجزء من طلب إلى متجر App Configuration. لتخويل الوصول إلى متجر App Configuration المحدد، يجب تعيين الأدوار المناسبة مسبقا لمدير الأمان. لمزيد من المعلومات، راجع تخويل Microsoft Entra في تكوين التطبيق.

أدوار Azure المضمنة لتكوين تطبيقتكوين Azure App

يوفر Azure الأدوار المضمنة التالية لتخويل الوصول إلى App Configuration باستخدام معرف Microsoft Entra:

الوصول إلى مستوى البيانات

يتم إرسال طلبات عمليات مستوى البيانات إلى نقطة نهاية متجر App Configuration. تتعلق هذه الطلبات ببيانات تكوين التطبيق.

• مالك بيانات تكوين التطبيق: استخدم هذا الدور لمنح حق الوصول إلى بيانات تكوين التطبيق للقراءة والكتابة والحذف. لا يمنح هذا الدور حق الوصول إلى مورد App Configuration.
• App Configuration Data Reader: استخدم هذا الدور لمنح حق الوصول للقراءة/الكتابة/الحذف إلى بياناتApp Configuration. لا يمنح هذا الدور حق الوصول إلى مورد App Configuration.

الوصول إلى وحدة التحكم

يتم إرسال جميع طلبات عمليات وحدة التحكم إلى عنوان URL Azure Resource Manager. تتعلق هذه الطلبات بمورد تكوين التطبيق.

• مساهم تكوين التطبيق: استخدم هذا الدور لإدارة مورد تكوين التطبيق فقط. لا يمنح هذا الدور حق الوصول لإدارة موارد Azure الأخرى. يمنح الوصول إلى مفاتيح اختصار المورد. بينما يمكن الوصول إلى بيانات تكوين التطبيق باستخدام مفاتيح الوصول، لا يمنح هذا الدور الوصول المباشر إلى البيانات باستخدام معرف Microsoft Entra. يمنح حق الوصول لاسترداد مورد App Configuration المحذوف ولكن ليس لإزالته. لإزالة موارد تكوين التطبيق المحذوفة ، استخدم دور المساهم .
• قارئ تكوين التطبيق: استخدم هذا الدور لقراءة مورد تكوين التطبيق فقط. لا يمنح هذا الدور حق الوصول لقراءة موارد Azure الأخرى. لا يمنح الوصول إلى مفاتيح الوصول للمورد، ولا إلى البيانات المخزنة في App Configuration.
• المساهم أو المالك: استخدم هذا الدور لإدارة مورد تكوين التطبيق بينما يكون قادرا أيضا على إدارة موارد Azure الأخرى. هذا الدور هو دور مسؤول متميز. يمنح الوصول إلى مفاتيح اختصار المورد. بينما يمكن الوصول إلى بيانات تكوين التطبيق باستخدام مفاتيح الوصول، لا يمنح هذا الدور الوصول المباشر إلى البيانات باستخدام معرف Microsoft Entra.
• القارئ: استخدم هذا الدور لقراءة مورد App Configuration بينما يكون قادرا أيضا على قراءة موارد Azure الأخرى. لا يمنح هذا الدور حق الوصول إلى مفاتيح الوصول للمورد، ولا إلى البيانات المخزنة في App Configuration.

إشعار

بعد تعيين دور لهوية، اسمح بما يصل إلى 15 دقيقة للإذن للنشر قبل الوصول إلى البيانات المخزنة في App Configuration باستخدام تلك الهوية.

المصادقة باستخدام بيانات اعتماد الرمز المميز

لتمكين التطبيق الخاص بك من المصادقة باستخدام معرف Microsoft Entra، تدعم مكتبة Azure Identity بيانات اعتماد الرمز المميز المختلفة لمصادقة معرف Microsoft Entra. على سبيل المثال، قد تختار بيانات اعتماد Visual Studio عند تطوير التطبيق الخاص بك في Visual Studio، أو بيانات اعتماد هوية حمل العمل عند تشغيل التطبيق الخاص بك على Kubernetes، أو بيانات اعتماد الهوية المدارة عند نشر التطبيق الخاص بك في خدمات Azure مثل دالات Azure.

استخدام DefaultAzureCredential

DefaultAzureCredential هو سلسلة مكونة مسبقا من بيانات اعتماد الرمز المميز التي تحاول تلقائيا تسلسل مرتب لأساليب المصادقة الأكثر شيوعا. DefaultAzureCredential يسمح لك استخدام بالاحتفاظ بنفس التعليمات البرمجية في كل من التطوير المحلي وبيئات Azure. ومع ذلك، من المهم معرفة بيانات الاعتماد التي يتم استخدامها في كل بيئة، حيث تحتاج إلى منح الأدوار المناسبة للتخويل للعمل. على سبيل المثال، قم بتخويل حسابك الخاص عندما تتوقع DefaultAzureCredential أن يعود إلى هوية المستخدم أثناء التطوير المحلي. وبالمثل، قم بتمكين الهوية المدارة في دالات Azure وتعيين الدور الضروري لها عندما تتوقع DefaultAzureCredential أن يعود إلى ManagedIdentityCredential عند تشغيل Function App في Azure.

تعيين أدوار بيانات تكوين التطبيق

بغض النظر عن بيانات الاعتماد التي تستخدمها، يجب عليك تعيين الأدوار المناسبة لها قبل أن تتمكن من الوصول إلى متجر App Configuration. إذا كان التطبيق الخاص بك يحتاج فقط إلى قراءة البيانات من متجر App Configuration، فعين له دور App Configuration Data Reader . إذا كان التطبيق الخاص بك يحتاج أيضا إلى كتابة البيانات إلى متجر App Configuration الخاص بك، فعين له دور مالك بيانات تكوين التطبيق.

اتبع هذه الخطوات لتعيين أدوار بيانات تكوين التطبيق إلى بيانات الاعتماد الخاصة بك.

1. في مدخل Microsoft Azure، انتقل إلى متجر App Configuration وحدد Access control (IAM).

2. اخترAdd->إضافة تعيين الدور.

   إذا لم يكن لديك الإذن لتعيين الأدوار، تعطيل خيار إضافة تعيين دور. يمكن فقط للمستخدمين الذين لديهم أدوار المالك أو مسؤول وصول المستخدم إجراء تعيينات الأدوار.

3. في علامة التبويب الدور ، حدد دور قارئ بيانات تكوين التطبيق (أو دور آخر لتكوين التطبيق حسب الاقتضاء) ثم حدد التالي.

4. في علامة التبويب الأعضاء ، اتبع المعالج لتحديد بيانات الاعتماد التي تمنح حق الوصول إليها ثم حدد التالي.

5. وأخيرا، في علامة التبويب Review + assign ، حدد Review + assign لتعيين الدور.

جمهور مصادقة إنترا ID

يحدد جمهور مصادقة Microsoft Entra ID من يسمح له بالوصول إلى مورد معين. يحدد المستلم المقصود لرمز الأمان. يدعم إعداد التطبيقات جماهير مختلفة لسحابات مختلفة.

جمهور إعدادات التطبيقات

بالنسبة إلى تكوين Azure App في سحابة Azure العالمية، استخدم الجمهور التالي:

https://appconfig.azure.com

بالنسبة إلى تكوين Azure App في السحب الوطنية، استخدم الجمهور القابل للتطبيق المحدد في الجدول أدناه:

السحابة الوطنية	الجمهور
Azure Government	https://appconfig.azure.us
Microsoft Azure مُشغل بواسطة 21Vianet	https://appconfig.azure.cn
بلو	https://appconfig.sovcloud-api.fr

تكوين جمهور خاص بالسحابة

عند استخدام Entra ID للمصادقة باستخدام تكوين Azure App في السحب غير Azure cloud وAzure Government وMicrosoft Azure التي تديرها 21Vianet، يجب تكوين جمهور Entra ID مناسب.

نصيحة

إذا واجهت الخطأ التالي عند الاتصال بإعدادات تطبيقات Azure، فعادة ما يكون السبب أنك تستخدم App Configuration في سحابة محددة دون تكوين جمهور Microsoft Entra ID بشكل صريح.

AADSTS500011: The resource principal named https://appconfig.azure.com was not found in the tenant named msazurecloud.

لحل هذه المشكلة، قم بتكوين جمهور Entra ID المناسب كما هو موضح في مقتطفات الكود أدناه.

.NET

موفر تكوين .NET

إذا كان تطبيقك يستخدم أيا من الحزم التالية، يمكن تكوين الجمهور باستخدام طريقة ConfigureClientOptions . استخدم الإصدار 8.2.0 أو أحدث من أي من الحزم التالية لتكوين الجمهور.

• Microsoft.Extensions.Configuration.AzureAppConfiguration
• Microsoft.Azure.AppConfiguration.AspNetCore
• Microsoft.Azure.AppConfiguration.Functions.Worker

يوضح مقتطف الكود التالي كيفية إضافة مزود إعدادات تطبيقات Azure إلى تطبيق .NET مع جمهور خاص بالسحابة.

builder.AddAzureAppConfiguration(o =>
    {
        o.Connect(
            myStoreEndpoint,
            new DefaultAzureCredential());

        o.ConfigureClientOptions(clientOptions =>
            clientOptions.Audience = "{Cloud specific audience here}");
    });

Azure SDK لـ .NET

إذا استخدم تطبيقك الحزمة التالية، يمكن تكوين الجمهور عند ConfigurationClientOptions بناء الكائن ConfigurationClient . استخدم الإصدار 1.6.0 أو أحدث من الحزمة التالية.

• Azure.Data.AppConfiguration

يوضح مقتطف الكود التالي كيفية إنشاء عميل تكوين مع جمهور خاص بالسحابة.

var configurationClient = new ConfigurationClient(
    myStoreEndpoint,
    new DefaultAzureCredential(),
    new ConfigurationClientOptions
    {
        Audience = "{Cloud specific audience here}"
    });

جاوة

مزود تكوين النوابض

إذا كان تطبيقك يستخدم أيا من الحزم التالية، يمكن تكوين الجمهور عن طريق تخصيص عبر ConfigurationClientBuilderConfigurationClientCustomizer الواجهة، ثم إضافتها إلى سجل التمهيد (bootstrap). استخدم الإصدار 5.22.0 أو أحدث من الحزم التالية لتكوين الجمهور.

• spring-cloud-azure-appconfiguration-config
• spring-cloud-azure-appconfiguration-config-web

يوضح مقتطف الكود التالي كيفية إضافة مزود إعدادات تطبيقات Azure في تطبيق Spring Boot مع جمهور خاص بالسحابة.

import com.azure.data.appconfiguration.ConfigurationClientBuilder;
import com.azure.data.appconfiguration.models.ConfigurationAudience;
import com.azure.spring.cloud.appconfiguration.config.ConfigurationClientCustomizer;

public class CustomClient implements ConfigurationClientCustomizer {

    @Override
    public void customize(ConfigurationClientBuilder builder, String endpoint) {
        builder.audience(ConfigurationAudience.fromString("{Cloud specific audience here}"));
    }
}

ثم سجل في CustomClient سجل bootstrap.

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.AutoConfiguration;
import org.springframework.boot.autoconfigure.SpringBootApplication;

import hello.impl.AppConfigClientImpl;

@SpringBootApplication
@AutoConfiguration
public class Application {

	public static void main(String[] args) {
		SpringApplication app = new SpringApplication(Application.class);
		
		// Register the ConfigurationClientCustomizer in the bootstrap context
		app.addBootstrapRegistryInitializer(registry -> {
			registry.register(CustomClient.class, context -> new CustomClient());
		});
		
		app.run(args);
	}

}

Azure SDK لـ Java

إذا استخدم تطبيقك الحزمة التالية، يمكن تكوين الجمهور عن طريق تمرير audience الخيار إلى عند ConfigurationClientBuilder بناء .ConfigurationClient استخدم الإصدار 1.8.0 أو أحدث من الحزمة التالية.

• azure-data-appconfiguration

يوضح مقتطف الكود التالي كيفية إنشاء عميل تكوين مع جمهور خاص بالسحابة.

ConfigurationClient configurationClient = new ConfigurationClientBuilder()
    .endpoint(myStoreEndpoint)
    .credential(new DefaultAzureCredentialBuilder().build())
    .audience(ConfigurationAudience.fromString("{Cloud specific audience here}"))
    .buildClient();

JavaScript

موفر تكوين JavaScript

إذا استخدم تطبيقك الحزمة التالية، يمكن تكوين الجمهور عن طريق تمرير الميزة clientOptionsaudience مع الخاصية إلى الدالة load . استخدم الإصدار 1.0.0 أو أحدث من الحزمة التالية.

• @azure/app-configuration-provider

يوضح مقتطف الكود التالي كيفية تحميل تكوين Azure App في تطبيق JavaScript مع جمهور مخصص للسحابة.

const appConfig = await load(myStoreEndpoint, credential, {
    clientOptions: {
        audience: "{Cloud specific audience here}"
    }
});

Azure SDK لـ JavaScript

إذا كان تطبيقك يستخدم الحزمة التالية، يمكن تكوين الجمهور عن طريق تمرير audience الخيار إلى AppConfigurationClient المنشئ. استخدم الإصدار 1.9.0 أو أحدث من الحزمة التالية.

• @azure/app-configuration

يوضح مقتطف الكود التالي كيفية إنشاء عميل تكوين مع جمهور خاص بالسحابة.

const client = new AppConfigurationClient(myStoreEndpoint, new DefaultAzureCredential(), {
    audience: "{Cloud specific audience here}",
});

Python

موفر تكوين Python

إذا استخدم تطبيقك الحزمة التالية، يمكن تكوين الجمهور عن طريق تمرير الكلمة audience المفتاحية إلى الطريقة load . استخدم الإصدار 2.4.0 أو أحدث من الحزمة التالية.

• azure-appconfiguration-provider

يوضح مقتطف الكود التالي كيفية تحميل تكوين Azure App في تطبيق بايثون مع جمهور مخصص للسحابة.

from azure.appconfiguration.provider import load
from azure.identity import DefaultAzureCredential

config = load(
    endpoint=myStoreEndpoint,
    credential=DefaultAzureCredential(),
    audience="{Cloud specific audience here}",
)

Azure SDK لـ Python

إذا استخدم تطبيقك الحزمة التالية، يمكن تكوين الجمهور عن طريق تمرير audience الكلمة المفتاحية إلى المنشئ AzureAppConfigurationClient . استخدم الإصدار 1.8.0 أو أحدث من الحزمة التالية.

• azure-appconfiguration

يوضح مقتطف الكود التالي كيفية إنشاء عميل تكوين مع جمهور خاص بالسحابة.

from azure.appconfiguration import AzureAppConfigurationClient
from azure.identity import DefaultAzureCredential

client = AzureAppConfigurationClient(
    myStoreEndpoint,
    DefaultAzureCredential(),
    audience="{Cloud specific audience here}",
)

ذهب

لتكوين جمهور Entra ID، قم أولا باستيراد الحزم التالية في تطبيق Go الخاص بك:

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azcore/cloud"
    "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
)

موفر التكوين Go

إذا كان تطبيقك يستخدم الحزمة التالية، يمكن تكوين الجمهور عن طريق تمرير ClientOptions تكوين السحابة إلى الدالة Load . استخدم الإصدار 1.0.0 أو أحدث من الحزمة التالية.

• azureappconfiguration

يوضح مقتطف الكود التالي كيفية تحميل تكوين Azure App في تطبيق Go مع جمهور خاص بالسحابة.

credential, _:= azidentity.NewDefaultAzureCredential(nil)

authOptions := azureappconfiguration.AuthenticationOptions{
    Endpoint: myStoreEndpoint,
    Credential: credential,
}

cloudConfig := cloud.Configuration{
    Services: map[cloud.ServiceName]cloud.ServiceConfiguration{
        azappconfig.ServiceName: {
            Audience: "{Cloud specific audience here}",
        },
    },
}

options := &azureappconfiguration.Options{
    ClientOptions: &azappconfig.ClientOptions{
        ClientOptions: policy.ClientOptions{
            Cloud: cloudConfig,
        },
    },
}

appConfig, _ := azureappconfiguration.Load(context.Background(), authOptions, options)

Azure SDK لـ Go

إذا كان تطبيقك يستخدم الحزمة التالية، يمكن تكوين الجمهور باستخدام تكوين السحابة. استخدم الإصدار 2.1.0 أو أحدث من الحزمة التالية.

• azappconfig

يوضح مقتطف الكود التالي كيفية إنشاء عميل تكوين مع جمهور خاص بالسحابة.

credential, _:= azidentity.NewDefaultAzureCredential(nil)

cloudConfig := cloud.Configuration{
    Services: map[cloud.ServiceName]cloud.ServiceConfiguration{
        azappconfig.ServiceName: {
            Audience: "{Cloud specific audience here}",
        },
    },
}

clientOptions := &azappconfig.ClientOptions{
    ClientOptions: policy.ClientOptions{
        Cloud: cloudConfig,
    },
}

client, _ := azappconfig.NewClient(myStoreEndpoint, credential, clientOptions)

كوبرنيتيس

مزود Kubernetes

إذا كان تطبيقك يعمل على Kubernetes وتستخدم تكوين Azure App Kubernetes Provider، فإن تكوين الجمهور يعتمد على كيفية تثبيت المزود.

• إضافة AKS: لا حاجة لتكوين الجمهور. يحدد الامتداد الجمهور تلقائيا بناء على السحابة التي يعرض فيها.
• مخطط الدخوة: يمكن تكوين الجمهور عند وقت التثبيت عن طريق ضبط المعامل env.azureAppConfigurationAudience . استخدم الإصدار 2.6.0 أو أحدث من مزود Kubernetes لتكوين الجمهور.

يوضح الأمر التالي كيفية تثبيت تكوين Azure App Kubernetes Provider عبر Helm مع جمهور خاص بالسحابة.

helm install azureappconfiguration.kubernetesprovider \
    oci://mcr.microsoft.com/azure-app-configuration/helmchart/kubernetes-provider \
    --namespace azappconfig-system \
    --create-namespace \
    --set env.azureAppConfigurationAudience="{Cloud specific audience here}"

بوويرشيل

Azure PowerShell

إذا كنت تستخدم Azure PowerShell، يمكن تكوين الجمهور عن طريق ضبط معامل AzureAppConfigurationEndpointResourceId على بيئة Azure مخصصة باستخدام Add-AzEnvironment أو Set-AzEnvironment. استخدم الإصدار 15.6.0 أو أحدث من وحدة Az .

يوضح المثال التالي كيفية تكوين بيئة Bleu مع جمهور إعدادات التطبيقات ولاحقة نقطة النهاية.

Add-AzEnvironment -Name "{Environment name}" `
    -AzureAppConfigurationEndpointResourceId "https://appconfig.sovcloud-api.fr" `
    -AzureAppConfigurationEndpointSuffix "appconfig.sovcloud-api.fr"

لتحديث بيئة موجودة:

Set-AzEnvironment -Name "{Environment name}" `
    -AzureAppConfigurationEndpointResourceId "https://appconfig.sovcloud-api.fr" `
    -AzureAppConfigurationEndpointSuffix "appconfig.sovcloud-api.fr"

بعد تكوين البيئة، اتصل بها قبل تشغيل أي أوامر إعدادات التطبيق:

Connect-AzAccount -Environment "{Environment name}"

Azure CLI

إذا استخدمت Azure CLI، يمكن تكوين الجمهور عن طريق تعيين خاصية نقطة النهاية appconfig_auth_token_audience على تعريف السحابة باستخدام az cloud register أو az cloud update.

يوضح المثال التالي كيفية تكوين سحابة مخصصة ل Bleu مع جمهور إعدادات التطبيقات.

az cloud register --name <bleu-cloud-name> --cloud-config "{\"endpoints\":{\"resourceManager\":\"<bleu-resource-manager-endpoint>\",\"activeDirectory\":\"<bleu-active-directory-endpoint>\",\"activeDirectoryResourceId\":\"<bleu-active-directory-resource-id>\",\"appconfig_auth_token_audience\":\"https://appconfig.sovcloud-api.fr\"}}"

لتحديث السحابة الحالية:

az cloud update -n <bleu-cloud-name> --cloud-config "{\"endpoints\": {\"appconfig_auth_token_audience\": \"https://appconfig.sovcloud-api.fr\"}}"

بعد تكوين السحابة، قم بتعيينها كسحابة نشطة قبل تشغيل أي أوامر إعدادات التطبيق:

az cloud set --name <bleu-cloud-name>

الخطوات التالية

تعرف على كيفية استخدام الهويات المدارة للوصول إلى متجر App Configuration.