Autorización del acceso a Azure App Configuration con Microsoft Entra ID

Además de usar el Código de autenticación de mensajes basado en hash (HMAC), Azure App Configuration admite el uso de Microsoft Entra ID para autorizar solicitudes a instancias de App Configuration. Microsoft Entra ID permite usar el control de acceso basado en rol de Azure (Azure RBAC) para conceder permisos a una entidad de seguridad. Una entidad de seguridad puede ser un usuario, una identidad administrada o una entidad de servicio de aplicación. Para más información sobre los roles y las asignaciones de roles, consulte Descripción de los distintos roles.

Información general

Las solicitudes realizadas por una entidad de seguridad para acceder a un recurso de App Configuration deben ser autorizadas. Con Microsoft Entra ID, el acceso a un recurso es un proceso de dos pasos:

  1. Se autentica la identidad de la entidad de seguridad y se devuelve un token de OAuth 2.0. El nombre de recurso para solicitar un token es https://login.microsoftonline.com/{tenantID}, donde {tenantID} coincide con el identificador de inquilino de Microsoft Entra al que pertenece la entidad de servicio.
  2. El token se pasa como parte de una solicitud al servicio App Configuration para autorizar el acceso al recurso especificado.

El paso de autenticación exige que una solicitud de aplicación contenga un token de acceso de OAuth 2.0 en tiempo de ejecución. Si una aplicación se ejecuta dentro de una entidad de Azure, como una aplicación de Azure Functions, una aplicación web de Azure o una máquina virtual de Azure, puede usar una identidad administrada para acceder a los recursos. Para más información sobre cómo autenticar solicitudes realizadas por una identidad administrada a Azure App Configuration, consulte Autenticación del acceso a recursos de Azure App Configuration con Microsoft Entra ID e identidades administradas para los recursos de Azure.

El paso de autorización exige que se asignen uno o varios roles de Azure a la entidad de seguridad. Azure App Configuration proporciona roles de Azure que abarcan conjuntos de permisos para recursos de App Configuration. Los roles que se asignan a una entidad de seguridad determinan los permisos que se proporcionan a la entidad de seguridad. Para más información sobre los roles de Azure, consulte Roles integrados de Azure para Azure App Configuration.

Asignación de roles de Azure para derechos de acceso

Microsoft Entra autoriza los derechos de acceso a recursos protegidos mediante el control de acceso basado en roles de Azure (Azure RBAC).

Cuando un rol de Azure se asigna a una entidad de seguridad de Microsoft Entra, Azure concede a esa entidad de seguridad acceso a los recursos. El acceso tiene el ámbito del recurso de App Configuration. Una entidad de seguridad de Microsoft Entra puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad administrada para recursos de Azure.

Roles integrados de Azure para Azure App Configuration

Azure proporciona los siguientes roles integrados de Azure para autorizar el acceso a los datos de App Configuration con Microsoft Entra ID:

  • Propietario de los datos de App Configuration: use este rol para proporcionar acceso de lectura, escritura o eliminación a los datos de App Configuration. Esto no concede acceso al recurso de App Configuration.
  • Lector de los datos de App Configuration: use este rol para proporcionar acceso de lectura a los datos de App Configuration. Esto no concede acceso al recurso de App Configuration.
  • Colaborador o Propietario: use este rol para administrar el recurso de App Configuration. Concede acceso a las claves de acceso del recurso. Aunque se puede acceder a los datos de App Configuration mediante claves de acceso, este rol no concede acceso directo a los datos mediante Microsoft Entra ID. Este rol es necesario si accede a los datos de App Configuration a través de la plantilla de ARM, Bicep o Terraform durante la implementación. Para obtener más información, consulte Autorización.
  • Lector: use este rol para proporcionar acceso de lectura al recurso de App Configuration. Esto no concede acceso a las claves de acceso del recurso ni a los datos almacenados en App Configuration.

Nota:

Después de realizar una asignación de roles para una identidad, espere hasta 15 minutos para que el permiso se propague antes de acceder a los datos almacenados en App Configuration mediante esta identidad.

Pasos siguientes

Más información sobre el uso de identidades administradas para administrar el servicio App Configuration.