Creare un'assegnazione di ruolo
Un'assegnazione di ruolo è il processo di definizione dell'ambito di una definizione di ruolo per limitare le autorizzazioni per un richiedente, ad esempio un utente, un gruppo, un'entità servizio o un'identità gestita.
Informazioni utili sulle assegnazioni di ruolo
Esaminare le caratteristiche seguenti delle assegnazioni di ruolo:
Lo scopo di un'assegnazione di ruolo è controllare l'accesso.
L'ambito limita le autorizzazioni definite per un ruolo disponibili per il richiedente assegnato.
L'accesso viene revocato con la rimozione di un'assegnazione di ruolo.
Una risorsa eredita le assegnazioni di ruolo dalla risorsa padre.
Le autorizzazioni valide per un richiedente sono una combinazione delle autorizzazioni per i ruoli assegnati del richiedente e le autorizzazioni per i ruoli assegnati alle risorse richieste.
Aspetti da considerare quando si assegnano livelli di ambito per i ruoli
Il diagramma seguente mostra un esempio di come applicare gli ambiti per un ruolo per concedere diversi livelli di accesso per utenti diversi. Si pensi a come implementare gli ambiti per i ruoli per creare assegnazioni significative per l'organizzazione.
Questo scenario ha la configurazione di gestione degli accessi seguente:
Sono supportate tre entità di sicurezza: utente, gruppo, entità servizio.
Vengono implementati sei ruoli predefiniti e vengono definiti due ruoli personalizzati: Reader Support Tickets e Virtual Machine Operator.
Il ruolo Collaboratore predefinito ha due set di autorizzazioni: Actions e NotActions.
Il ruolo Collaboratore viene assegnato in ambiti diversi ai gruppi di risorse Marketing e Pharma-sales:
Gli utenti Marketing sono autorizzati ad accedere per creare o gestire qualsiasi risorsa di Azure nel gruppo di risorse Pharma-sales.
Gli utenti Marketing non sono autorizzati ad accedere alle risorse esterne al gruppo di risorse Pharma-sales.