Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem Data-API-Builder können Entwickler den Authentifizierungsmechanismus (Identitätsanbieter) definieren, den der Data-API-Builder verwenden soll, um zu authentifizieren, wer die Anfragen stellt.
Die Authentifizierung wird an einen unterstützten Identitätsanbieter delegiert, bei dem Zugriffstoken ausgestellt werden kann. Ein erworbenes Zugriffstoken muss in eingehende Anforderungen an den Daten-API-Generator eingeschlossen werden. Der Daten-API-Generator überprüft dann alle präsentierten Zugriffstoken, um sicherzustellen, dass der Daten-API-Generator die beabsichtigte Zielgruppe des Tokens war.
In der Entwicklung (az login)
Die Verwendung Authentication='Active Directory Default' in Azure SQL-Datenbankverbindungszeichenfolgen bedeutet, dass der Client sich mit Microsoft Entra-Anmeldeinformationen authentifiziert. Die Umgebung bestimmt die genaue Authentifizierungsmethode. Wenn ein Entwickler az loginausführt, öffnet die Azure CLI ein Browserfenster, in dem der Benutzer aufgefordert wird, sich mit einem Microsoft-Konto oder Unternehmensanmeldeinformationen anzumelden. Nach der Authentifizierung ruft Azure CLI das Token ab, das mit der Microsoft Entra-Identität verknüpft ist, und speichert es zwischen. Dieses Token wird dann verwendet, um Anforderungen an Azure-Dienste zu authentifizieren, ohne dass Anmeldeinformationen in der Verbindungszeichenfolge erforderlich sind.
"data-source": {
"connection-string": "...;Authentication='Active Directory Default';"
}
Um lokale Anmeldeinformationen einzurichten, verwenden Sie az login nach der Installation von Azure CLI.
az login
JSON-Webtoken (JWT)
Um den JWT-Anbieter zu verwenden, müssen Sie den Abschnitt runtime.host.authentication konfigurieren, indem Sie die erforderlichen Informationen angeben, um das empfangene JWT-Token zu überprüfen:
"authentication": {
"provider": "AzureAD",
"jwt": {
"audience": "<APP_ID>",
"issuer": "https://login.microsoftonline.com/<AZURE_AD_TENANT_ID>/v2.0"
}
}
Rollenauswahl
Sobald eine Anforderung über eine der verfügbaren Optionen authentifiziert wurde, werden die im Token definierten Rollen verwendet, um zu bestimmen, wie Berechtigungsregeln ausgewertet werden, um autorisieren die Anforderung zu autorisieren. Jede authentifizierte Anforderung wird automatisch der authenticated Systemrolle zugewiesen, es sei denn, eine Benutzerrolle wird zur Verwendung angefordert. Weitere Informationen finden Sie unter Autorisierung.
Anonyme Anfragen
Anfragen können auch ohne Authentifizierung gestellt werden. In solchen Fällen werden die Anforderungen automatisch der anonymous Systemrolle zugewiesen, sodass sie ordnungsgemäß autorisiertwerden können.
X-MS-API-ROLE Header für Anforderungsanfragen
Der Daten-API-Generator erfordert den Header X-MS-API-ROLE, um Anforderungen mit benutzerdefinierten Rollen zu autorisieren. Der Wert von X-MS-API-ROLE muss mit einer im Token angegebenen Rolle übereinstimmen. Wenn das Token beispielsweise die Rolle Sample.Rolehat, sollte X-MS-API-ROLE auch Sample.Rolesein. Weitere Informationen finden Sie unter Autorisierungsbenutzerrollen.
Verwandte Inhalte
- Lokale Authentifizierung
- Autorisierung