Configuration du contrôle d’accès aux données pour l’espace de travail Expérimentation fractionnée (préversion)
L’expérimentation fractionnée dans Azure App Configuration (préversion) utilise Microsoft Entra pour autoriser les demandes de ressources d’espace de travail d’expérimentation fractionnée. Microsoft Entra permet également d’utiliser des rôles personnalisés pour accorder des autorisations aux principaux de sécurité.
Vue d’ensemble du contrôle d’accès aux données
Toutes les demandes adressées à l’espace de travail Expérimentation fractionnée doivent être autorisées. Pour configurer une stratégie de contrôle d’accès, utilisez une inscription d’application Microsoft Entra existante ou créez-en une. L’application inscrite fournit la stratégie d’authentification, les principes de sécurité, les définitions de rôle, etc., pour autoriser l’accès à l’espace de travail Expérimentation fractionnée.
Si vous le souhaitez, une seule application d’entreprise Microsoft Entra peut être utilisée pour contrôler l’accès à plusieurs espaces de travail Expérimentation fractionnée.
Pour configurer la stratégie de contrôle d’accès pour l’espace de travail Expérimentation fractionnée, une opération de plan de contrôle est nécessaire. L’expérimentation fractionnée nécessite uniquement l’ID d’application pour configurer la stratégie d’accès. Cette application Entra est détenue et entièrement contrôlée par le client. L’application doit se trouver dans le même locataire Microsoft Entra, dans lequel la ressource d’espace de travail Expérimentation fractionnée est approvisionnée ou considérée comme approvisionnée.
Avec Microsoft Entra, l’accès à une ressource est configuré dans un processus en deux étapes :
- L’identité du principal de sécurité est authentifiée, et un jeton OAuth 2.0 est émis. Le nom de la ressource utilisée pour demander un jeton est
https://login.microsoftonline.com/<tenantID>, où<tenantID>correspond à l’ID du locataire Microsoft Entra auquel appartient le principal de service. Vérifiez que l’étendue estapi://{Entra application ID>/.default, où<Entra application ID>correspond à l’ID d’application lié en tant que stratégie d’accès à la ressource d’espace de travail Expérimentation fractionnée. - Le jeton est transmis dans une requête adressée au service App Configuration pour autoriser l’accès à la ressource spécifiée.
Inscrire une application
Inscrivez une nouvelle application ou utilisez une inscription d’application Microsoft Entra existante pour exécuter votre expérimentation.
Pour inscrire une nouvelle application :
Dans le centre d’administration Microsoft, accédez à Identité>Applications>Inscriptions d’applications.
Entrez un Nom pour votre application, puis sous Types de comptes pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement.
Remarque
L’application doit se trouver dans le même locataire Microsoft Entra, dans lequel l’espace de travail Expérimentation fractionnée est approvisionnée ou considérée comme approvisionnée. Seule une inscription de base est nécessaire à ce stade. Pour plus d’informations sur ce sujet, consultez Inscrire une application.
Permettre à l’application Entra d’être utilisée en tant qu’audience
Configurez l’URI d’ID d’application pour permettre à l’application Entra d’être utilisée comme audience/étendue globale lors de la demande d’un jeton d’authentification.
Dans le centre d’administration Microsoft Entra, dans Identité>Applications>Inscriptions d’applications, ouvrez votre application en sélectionnant son Nom d’affichage. Dans le volet qui s’ouvre, sous Vue d’ensemble, copiez l’URI d’ID d’application. Si vous voyez Ajouter un URI d’ID d’application au lieu de l’URI d’ID d’application, sélectionnez cette option, puis sélectionnez Ajouter et Enregistrer.
Sélectionnez ensuite Exposer une API dans le menu gauche de l’application. Vérifiez que la valeur de l’URI d’ID d’application est :
api://<Entra application ID>oùEntra application IDdoit être le même ID d’application Microsoft Entra.
Autoriser les utilisateurs à demander l’accès à l’Expérimentation fractionnée à partir du portail Azure
L’interface utilisateur du portail Azure est effectivement l’expérience utilisateur de l’espace de travail Expérimentation fractionnée. Elle interagit avec le plan de données d’Expérimentation fractionnée pour configurer des mesures, créer/mettre à jour/archive/supprimer des expériences, obtenir des résultats d’expérience, etc.
Vous devez pré-autoriser l’interface utilisateur fractionnée du portail Azure pour y parvenir.
Ajouter une étendue
Dans le centre d’administration Microsoft Entra, accédez à votre application et ouvrez le menu gauche Exposer une API, puis sélectionnez Ajouter une étendue.
- Sous Qui peut donner son consentement ?, sélectionnez Administrateurs et utilisateurs.
- Saisissez le nom complet de consentement administrateur et la description du consentement administrateur.
Autoriser l’ID du fournisseur de ressources d’Expérimentation fractionnée
En restant dans le menu Exposer une API, faites défiler jusqu’à Applications clientes autorisées>Ajouter une application cliente et entrez l’ID client correspondant à l’ID du fournisseur de ressources d’Expérimentation fractionnée : d3e90440-4ec9-4e8b-878b-c89e889e9fbc.
Sélectionnez Ajouter une application.
Ajouter des rôles d’autorisation
L’espace de travail Expérimentation fractionnée prend en charge les rôles bien connus pour étendre le contrôle d’accès. Ajoutez les rôles suivants dans l’application Entra.
Accédez au menu Rôles d’application de votre application, puis sélectionnez Créer un rôle d’application.
Sélectionnez ou entrez les informations suivantes dans le volet qui s’ouvre pour créer un rôle ExperimentationDataOwner. Ce rôle donne à l’application un accès total pour exécuter toutes les opérations sur la ressource Expérimentation fractionnée.
- Nom d’affichage : entrez ExperimentationDataOwner
- Types de membres autorisés : sélectionnez Les deux (Utilisateurs/Groupes + Applications)
- Valeur entrez ExperimentationDataOwner
- Description : entrez Accès en lecture-écriture à l’espace de travail Expérimentation
- Voulez-vous activer ce rôle d’application ? : cochez cette case.
Créez un rôle ExperimentationDataReader. Ce rôle donne à l’application un accès en lecture sur la ressource Expérimentation fractionnée, mais ne l’autorise pas à apporter des modifications.
- Nom d’affichage : entrez ExperimentationDataReader
- Types de membres autorisés : sélectionnez Les deux (Utilisateurs/Groupes + Applications)
- Valeur entrez ExperimentationDataReader
- Description : entrez Accès en lecture seule à l’espace de travail Expérimentation
- Voulez-vous activer ce rôle d’application ? : cochez cette case.
Configurer les attributions d’utilisateur et de rôle
Choisir une option d’exigence d’affectation
Accédez au menu Vue d’ensemble de votre application, puis sélectionnez le lien sous Application managée dans le répertoire local. Cette opération ouvre votre application dans le menu Identité>Application d’entreprise du centre d’administration Microsoft.
Ouvrez Gérer>Propriétés sur la gauche, puis sélectionnez votre option préférée pour le paramètre Affectation requise.
- Oui : signifie que seules les entrées explicitement définies sous Utilisateurs et groupes dans l’application d’entreprise peuvent obtenir un jeton et donc accéder à l’espace de travail Expérimentation fractionnée associé. C'est l'option recommandée.
- Aucun : signifie que tout le monde dans le même locataire Entra peut obtenir des jetons et peut donc être autorisé, via le paramètre d’acceptation du plan de contrôle Expérimentation fractionnée, à accéder à l’espace de travail associé Expérimentation fractionnée.
Affecter des utilisateurs et des groupes
Retournez au menu Utilisateurs et groupes, puis sélectionnez Ajouter un utilisateur/groupe
Sélectionnez un utilisateur ou un groupe et sélectionnez l’un des rôles que vous avez créés pour l’espace de travail Expérimentation fractionnée.
Contenu connexe
- En savoir plus sur la résolution des problèmes liés à l’espace de travail Expérimentation fractionnée.