تخويل الوصول إلى Azure App Configuration باستخدام معرف Microsoft Entra

بالإضافة إلى استخدام رمز مصادقة الرسائل المستند إلى التجزئة (HMAC)، يدعم Azure App Configuration استخدام معرف Microsoft Entra لتخويل الطلبات إلى مثيلات تكوين التطبيق. يسمح لك معرف Microsoft Entra باستخدام التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) لمنح أذونات لأساس أمان. قد يكون أساس الأمان مستخدما أو هوية مدارة أو كيان خدمة تطبيق. لمعرفة المزيد حول الأدوار وتعيين الدور، انظر فهم الأدوار المختلفة.

نظرة عامة

يجب التصريح بالطلبات التي قدمها أساس الأمان للوصول إلى مورد App Configuration. باستخدام معرف Microsoft Entra، يعد الوصول إلى مورد عملية من خطوتين:

1. يتم أولا مصادقة هوية أساس الأمان، وإرجاع رمز OAuth 2.0 المميز. اسم المورد لطلب رمز مميز هو https://login.microsoftonline.com/{tenantID} المكان {tenantID} الذي يطابق معرف مستأجر Microsoft Entra الذي ينتمي إليه كيان الخدمة.
2. يتم بعد ذلك تمرير الرمز المميز كجزء من طلب إلى خدمة App Configuration لتفويض الوصول إلى المورد المحدد.

تتطلب خطوة المصادقة أن يحتوي طلب التطبيق على رمز وصول OAuth 2.0 المميز عند وقت التشغيل. إن كان أحد التطبيقات قيد التشغيل داخل كيان Azure مثل تطبيق Azure Functions أو تطبيق ويب Azure أو جهاز Azure الظاهري، يمكنها استخدام هوية مدارة للوصول إلى الموارد. لمعرفة كيفية مصادقة الطلبات التي تم إجراؤها بواسطة هوية مدارة إلى Azure App Configuration، راجع مصادقة الوصول إلى موارد Azure App Configuration باستخدام معرف Microsoft Entra والهويات المدارة لموارد Azure.

تتطلب خطوة التفويض تعيين دور أو أكثر من أدوار Azure إلى أساس الأمان. يوفر Azure App Configuration أدوار Azure التي تشمل مجموعات من الأذونات لموارد App Configuration. تحدد الأدوار التي تم تعيينها لأساس أمان الأذونات المقدمة للأساس. للمزيد من المعلومات حول أدوار Azure، انظرالأدوار المضمنة في Azure App Configuration.

تعيين أدوار Azure لحقوق الوصول

تخول Microsoft Entra حقوق الوصول إلى الموارد الآمنة من خلال التحكم في الوصول المستند إلى الدور Azure (Azure RBAC).

عند تعيين دور Azure إلى أساس أمان Microsoft Entra، يمنح Azure الوصول إلى هذه الموارد لكيان الأمان هذا. يتم تحديد نطاق الوصول إلى مورد App Configuration. قد يكون أساس أمان Microsoft Entra مستخدما أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.

أدوار Azure المضمنة لتكوين تطبيقAzure App Configuration

يوفر Azure الأدوار المضمنة التالية في Azure لتخويل الوصول إلى بيانات تكوين التطبيق باستخدام معرف Microsoft Entra:

• App Configuration Data Owner: استخدم هذا الدور لمنح حق الوصول للقراءة/الكتابة/الحذف إلى بيانات App Configuration. لا يمنح هذا الدور حق الوصول إلى مورد App Configuration.
• App Configuration Data Reader: استخدم هذا الدور لمنح حق الوصول للقراءة/الكتابة/الحذف إلى بياناتApp Configuration. لا يمنح هذا الدور حق الوصول إلى مورد App Configuration.
• المساهم أو المالك: استخدم هذا الدور لإدارة مورد App Configuration. يمنح الوصول إلى مفاتيح اختصار المورد. بينما يمكن الوصول إلى بيانات تكوين التطبيق باستخدام مفاتيح الوصول، لا يمنح هذا الدور الوصول المباشر إلى البيانات باستخدام معرف Microsoft Entra. هذا الدور مطلوب إذا قمت بالوصول إلى بيانات تكوين التطبيق عبر قالب ARM أو Bicep أو Terraform أثناء النشر. لمزيد من المعلومات، راجع النشر.
• القارئ: استخدم هذا الدور لمنح حق الوصول للقراءة إلى مورد App Configuration. لا يمنح هذا الدور حق الوصول إلى مفاتيح الوصول للمورد، ولا إلى البيانات المخزنة في App Configuration.

إشعار

بعد تعيين دور لهوية، اسمح بما يصل إلى 15 دقيقة للإذن للنشر قبل الوصول إلى البيانات المخزنة في App Configuration باستخدام تلك الهوية.

الخطوات التالية

تعرف على المزيد حول استخدام الهويات المدارة لإدارة خدمة App Configuration.