Megosztás a következőn keresztül:

Adathozzáférés-vezérlés beállítása a Split Experimentation-munkaterülethez (előzetes verzió)

  • Cikk

A Split Experimentation a Azure-alkalmazás Konfigurációban (előzetes verzió) a Microsoft Entra használatával engedélyezi a Split Experimentation Workspace-erőforrásokra vonatkozó kéréseket. A Microsoft Entra egyéni szerepkörök használatát is lehetővé teszi, hogy engedélyeket adjon a biztonsági tagoknak.

Az adathozzáférés-vezérlés áttekintése

A Split Experimentation-munkaterületre irányuló összes kérést engedélyezni kell. Hozzáférés-vezérlési szabályzat beállításához hozzon létre egy új Microsoft Entra-alkalmazásregisztrációt, vagy használjon egy meglévőt. A regisztrált alkalmazás biztosítja a hitelesítési szabályzatot, a biztonsági alapelveket, a szerepkör-definíciókat stb. a Split Experimentation Workspace-hez való hozzáférés engedélyezéséhez.

Opcionálisan egyetlen Nagyvállalati Microsoft Entra-alkalmazással szabályozható több Split Experimentation-munkaterülethez való hozzáférés.

A Split Experimentation Workspace hozzáférés-vezérlési szabályzatának beállításához vezérlősík-műveletre van szükség. A split experimentation csak az alkalmazásazonosítót igényli a hozzáférési szabályzat beállításához. Az említett Entra-alkalmazás az ügyfél tulajdonában és teljes mértékben ellenőrzése alatt áll. Az alkalmazásnak ugyanabban a Microsoft Entra-bérlőben kell lennie, amelyben a Split Experimentation Workspace erőforrás ki van építve vagy kiépítettnek tekinthető.

A Microsoft Entra használatával egy erőforráshoz való hozzáférés kétlépéses folyamattal van beállítva:

  1. A rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad ki. A jogkivonat kéréséhez használt erőforrásnév az https://login.microsoftonline.com/<tenantID>, amely <tenantID> megegyezik a Microsoft Entra-bérlő azonosítójával, amelyhez a szolgáltatásnév tartozik. Győződjön meg arról, <Entra application ID> hogy api://{Entra application ID>/.defaulta hatókör megegyezik a Split Experimentation Workspace erőforráshoz hozzáférési szabályzatként csatolt alkalmazásazonosítóval.
  2. A jogkivonatot a rendszer egy kérés részeként továbbítja az App Configuration szolgáltatásnak a megadott erőforráshoz való hozzáférés engedélyezéséhez.

Egy alkalmazás regisztrálása

Regisztráljon egy új alkalmazást, vagy használjon egy meglévő Microsoft Entra-alkalmazásregisztrációt a kísérletezés futtatásához.

Új alkalmazás regisztrálása:

  1. Lépjen az Identitásalkalmazások>> Alkalmazásregisztrációk.

    Képernyőkép a Microsoft Entra felügyeleti központról, amelyen a Alkalmazásregisztrációk lap látható.

  2. Adja meg az alkalmazás nevét, és a Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.

Feljegyzés

Az alkalmazásnak ugyanabban a Microsoft Entra-bérlőben kell lennie, amelyben a Split Experimentation Workspace ki van építve vagy kiépítettnek tekinthető. Jelenleg csak alapszintű regisztrációra van szükség. Erről a témakörről az alkalmazás regisztrálása című témakörben olvashat bővebben.

Az Entra-alkalmazás célközönségként való felhasználásának engedélyezése

Konfigurálja az alkalmazásazonosító URI-ját, hogy az Entra-alkalmazás globális célközönségként/hatókörként használható legyen hitelesítési jogkivonat kérésekor.

  1. Nyissa meg az alkalmazást az Azure Portalon, és az Áttekintés területen kérje le az alkalmazásazonosító URI-ját.

    Képernyőkép az alkalmazásról az Azure Portalon.

  2. Nyissa meg az alkalmazást a Microsoft Entra Felügyeleti központban, az Identity>Applicationsben> Alkalmazásregisztrációk a Megjelenítendő név kiválasztásával.

  3. A megnyíló panelen válassza az API-k felfedése lehetőséget, és győződjön meg arról, hogy az alkalmazásazonosító URI-értéke a következő: api://<Entra application ID> hol Entra application ID kell lennie ugyanazzal a Microsoft Entra-alkalmazásazonosítóval.

    Képernyőkép a Microsoft Entra felügyeleti központról, amelyen a Alkalmazásregisztrációk lap látható.

Lehetővé teszi a felhasználók számára, hogy hozzáférést kérjenek a Split Experimentationhoz az Azure Portalról

Az Azure Portal felhasználói felülete tulajdonképpen a Split Experimentation Workspace UX-je. A metrikák beállításához, a kísérletek létrehozásához,frissítéséhez/archiválásához/törléséhez, a kísérlet eredményeinek lekéréséhez stb.

Ennek eléréséhez előhitelesítenie kell az Azure Portal Split felhasználói felületét.

Hatókör hozzáadása

A Microsoft Entra Felügyeleti központban nyissa meg az alkalmazást, és nyissa meg az API bal oldali közzététele menüt, majd válassza a Hatókör hozzáadása lehetőséget.

Képernyőkép a Microsoft Entra felügyeleti központról, amely bemutatja, hogyan vehet fel hatókört.

  1. A Ki tud hozzájárulni? területen válassza ki a Rendszergazda és a felhasználókat.
  2. Adjon meg egy Rendszergazda hozzájárulás megjelenítendő nevét és egy Rendszergazda hozzájárulás leírását.

Felosztási kísérletezés erőforrás-szolgáltatói azonosító engedélyezése

  1. Az API-k közzététele menüben maradva görgessen le az engedélyezett ügyfélalkalmazásokhoz>: Adjon hozzá egy ügyfélalkalmazást, és adja meg a felosztási kísérletezés erőforrás-szolgáltatójának azonosítójának megfelelő ügyfélazonosítót: d3e90440-4ec9-4e8b-878b-c89e889e9fbc.

    Képernyőkép a Microsoft Entra felügyeleti központról, amely bemutatja, hogyan engedélyezheti a felosztási kísérletezés erőforrás-szolgáltatójának azonosítóját.

  2. Válassza az Alkalmazás hozzáadása lehetőséget.

Engedélyezési szerepkörök hozzáadása

A Split Experimentation munkaterület jól ismert szerepköröket támogat a hatókör-hozzáférés-vezérléshez. Adja hozzá a következő szerepköröket az Entra-alkalmazásban.

  1. Nyissa meg az Alkalmazásszerepkörök menüt, és válassza az Alkalmazásszerepkör létrehozása lehetőséget.

  2. Válassza ki vagy írja be a következő adatokat a megnyíló panelen az első szerepkör létrehozásához:

    • Megjelenítendő név: enter ExperimentationDataOwner
    • Engedélyezett tagtípusok: válassza a Mindkettő (Felhasználók/Csoportok + Alkalmazások) lehetőséget
    • Érték enter ExperimentationDataOwner
    • Leírás: Adja meg a Kísérletezés munkaterület olvasási-írási hozzáférését
    • Engedélyezi ezt az alkalmazásszerepkört?: Jelölje be ezt a jelölőnégyzetet.

    Képernyőkép a Microsoft Entra felügyeleti központról, amely bemutatja, hogyan hozhat létre alkalmazásszerepkört.

  3. Hozzon létre egy második szerepkört:

    • Megjelenítendő név: enter ExperimentationDataReader
    • Engedélyezett tagtípusok: válassza a Mindkettő (Felhasználók/Csoportok + Alkalmazások) lehetőséget
    • Érték enter ExperimentationDataReader
    • Leírás: Adja meg a Kísérletezési munkaterület írásvédett hozzáférését
    • Engedélyezi ezt az alkalmazásszerepkört?: Jelölje be ezt a jelölőnégyzetet.

Felhasználói és szerepkör-hozzárendelések konfigurálása

Hozzárendelési követelmény kiválasztása

  1. Nyissa meg az Áttekintés menüt, és válassza a helyi címtár felügyelt alkalmazásra mutató hivatkozását

  2. Nyissa meg a Tulajdonságok kezelése lehetőséget>, és válassza ki a kívánt beállítást a hozzárendeléshez szükséges beállításhoz.

    • Igen: azt jelenti, hogy csak a vállalati alkalmazásban a Felhasználók és csoportok csoportban explicit módon definiált bejegyzések szerezhetnek be jogkivonatot, és így hozzáférhetnek a társított Split Experimentation-munkaterülethez. Ez az ajánlott beállítás.
    • Nem: azt jelenti, hogy az Ugyanabban az Entra-bérlőben mindenki beszerezhet jogkivonatokat, ezért a Split Experimentation vezérlősík engedélyezési beállításával hozzáférhet a társított Split Experimentation-munkaterülethez.

    Képernyőkép a Microsoft Entra felügyeleti központról, amely bemutatja, hogyan igényelhet hozzárendelést.

Felhasználók és csoportok hozzárendelése

  1. Nyissa meg a Felhasználók és csoportok menüt, és válassza a Felhasználó/csoport hozzáadása lehetőséget

    Képernyőkép a Microsoft Entra felügyeleti központról, amely bemutatja, hogyan rendelhet szerepköröket a felhasználókhoz.

  2. Válasszon ki egy felhasználót vagy csoportot, és válassza ki a Felosztási kísérlet munkaterülethez létrehozott szerepkörök egyikét.

Kapcsolódó tartalom