분할 실험 작업 영역(미리 보기)에 대한 데이터 액세스 제어 설정

Azure App Configuration의 분할 실험(미리 보기)은 Microsoft Entra를 사용하여 분할 실험 작업 영역 리소스에 대한 요청을 승인합니다. Microsoft Entra를 사용하면 사용자 지정 역할을 사용하여 보안 주체에 권한을 부여할 수도 있습니다.

데이터 액세스 제어 개요

분할 실험 작업 영역에 대한 모든 요청에는 권한이 부여되어야 합니다. 액세스 제어 정책을 설정하려면 새 Microsoft Entra 애플리케이션 등록을 만들거나 기존 등록을 사용합니다. 등록된 애플리케이션은 분할 실험 작업 영역에 대한 액세스를 허용하기 위한 인증 정책, 보안 원칙, 역할 정의 등을 제공합니다.

필요에 따라 단일 Microsoft Entra Enterprise 애플리케이션을 사용하여 여러 분할 실험 작업 영역에 대한 액세스를 제어할 수 있습니다.

분할 실험 작업 영역에 대한 액세스 제어 정책을 설정하려면 컨트롤 플레인 작업이 필요합니다. 분할 실험에는 액세스 정책을 설정하기 위해 애플리케이션 ID만 필요합니다. 해당 Entra 애플리케이션은 고객이 소유하고 완전히 제어합니다. 애플리케이션은 분할 실험 작업 영역 리소스가 프로비전되거나 프로비전된 것으로 간주되는 동일한 Microsoft Entra 테넌트에 있어야 합니다.

Microsoft Entra를 사용하면 리소스에 대한 액세스가 2단계 프로세스로 설정됩니다.

1. 보안 주체의 ID가 인증되고 OAuth 2.0 토큰이 발급됩니다. 토큰을 요청하는 데 사용되는 리소스 이름은 <tenantID>가 서비스 사용자의 Microsoft Entra 테넌트 ID와 일치하는 https://login.microsoftonline.com/<tenantID>입니다. 범위가 api://{Entra application ID>/.default인지 확인합니다. 여기서 <Entra application ID>는 분할 실험 작업 영역 리소스에 대한 액세스 정책으로 연결된 애플리케이션 ID와 일치합니다.
2. 토큰은 지정된 리소스에 대한 액세스 권한을 부여하기 위해 App Configuration 서비스에 요청의 일부로 전달됩니다.

애플리케이션 등록

새 앱을 등록하거나 기존 Microsoft Entra 애플리케이션 등록을 사용하여 실험을 실행합니다.

새 앱을 등록하려면 다음을 수행합니다.

1. Microsoft 관리 센터에서 ID>애플리케이션>앱 등록으로 이동합니다.

   

2. 앱의 이름을 입력하고 지원되는 계정 유형 아래에서 이 조직 디렉터리의 계정만을 선택합니다.

참고 항목

애플리케이션은 분할 실험 작업 영역이 프로비전되거나 프로비전된 것으로 간주되는 동일한 Microsoft Entra 테넌트에 있어야 합니다. 이 시점에서는 기본 등록만 필요합니다. 애플리케이션 등록에서 이 항목에 대해 자세히 알아보세요.

Entra 애플리케이션을 대상 그룹으로 사용할 수 있도록 설정

인증 토큰을 요청할 때 Entra 애플리케이션을 전역 대상/범위로 사용할 수 있도록 애플리케이션 ID URI를 구성합니다.

1. Microsoft Entra 관리 센터에서 ID>애플리케이션>앱 등록에서 표시 이름을 선택하여 애플리케이션을 엽니다. 열리는 창에서 개요 아래에 애플리케이션 ID URI를 복사합니다. 애플리케이션 ID URI 대신 애플리케이션 ID URI 추가가 표시되면 이 옵션을 선택한 다음 추가 및 저장을 선택합니다.

   

2. 그런 다음 앱의 왼쪽 메뉴에서 API 표시를 선택합니다. 애플리케이션 ID URI 값이 api://<Entra application ID>인지 확인합니다. 여기서 Entra application ID는 동일한 Microsoft Entra 애플리케이션 ID여야 합니다.

   

사용자가 Azure Portal에서 분할 실험에 대한 액세스를 요청하도록 허용

Azure Portal 사용자 인터페이스는 분할 실험 작업 영역의 UX입니다. 분할 실험 데이터 평면과 상호 작용하여 메트릭, 실험 만들기/업데이트/보관/삭제, 실험 결과 가져오기 등을 설정합니다.

이를 위해서는 Azure Portal 분할 UI를 미리 인증해야 합니다.

범위 추가

Microsoft Entra 관리 센터에서 앱으로 이동하여 API 노출 왼쪽 메뉴를 열고 범위 추가를 선택합니다.

1. 동의할 수 있는 사람에서 관리자 및 사용자를 선택합니다.
2. 관리자 동의 표시 이름 및 관리자 동의 설명을 입력합니다.

분할 실험 리소스 공급자 ID 권한 부여

1. API 노출 메뉴에서 아래로 스크롤하여 권한 있는 클라이언트 애플리케이션>클라이언트 애플리케이션 추가로 스크롤하고 분할 실험 리소스 공급자 ID에 해당하는 클라이언트 ID d3e90440-4ec9-4e8b-878b-c89e889e9fbc를 입력합니다.

   

2. 애플리케이션 추가를 선택합니다.

권한 부여 역할 추가

분할 실험 작업 영역은 액세스 제어 범위를 지정하는 잘 알려진 역할을 지원합니다. Entra 애플리케이션에 다음 역할을 추가합니다.

1. 앱의 앱 역할 메뉴로 이동하여 앱 역할 만들기를 선택합니다.

2. 열리는 창에서 다음 정보를 선택하거나 입력하여 ExperimentationDataOwner 역할을 만듭니다. 이 역할은 앱에 분할 실험 리소스에서 모든 작업을 실행할 수 있는 모든 권한을 부여합니다.

   • 표시 이름: ExperimentationDataOwner 입력
   • 허용되는 멤버 유형: 둘 다(사용자/그룹 + 애플리케이션) 선택
   • 값: ExperimentationDataOwner 입력
   • 설명: 실험 작업 영역에 대한 읽기/쓰기 액세스 입력
   • 이 앱 역할을 사용하도록 설정하시겠습니까?: 이 확인란 선택

   

3. ExperimentationDataReader 역할을 만듭니다. 이 역할은 앱에 분할 실험 리소스에 대한 읽기 권한을 부여하지만, 어떠한 변경도 허용하지 않습니다.

   • 표시 이름: ExperimentationDataReader 입력
   • 허용되는 멤버 유형: 둘 다(사용자/그룹 + 애플리케이션) 선택
   • 값: ExperimentationDataReader 입력
   • 설명: 실험 작업 영역에 대한 읽기 전용 액세스 입력
   • 이 앱 역할을 사용하도록 설정하시겠습니까?: 이 확인란 선택

사용자 및 역할 할당 구성

할당 요구 사항 옵션 선택

1. 앱의 개요 메뉴로 이동하여 로컬 디렉터리의 관리되는 애플리케이션 아래에 있는 링크를 선택합니다. 이렇게 하면 Microsoft 관리 센터의 ID>엔터프라이즈 애플리케이션 메뉴에서 앱이 열립니다.

2. 왼쪽에서 관리>속성을 열고 할당 필요 설정에 대한 원하는 옵션을 선택합니다.

   • 예: 엔터프라이즈 애플리케이션의 사용자 및 그룹 아래에 명시적으로 정의된 항목만 토큰을 가져와 관련 분할 실험 작업 영역에 액세스할 수 있습니다. 이 옵션을 사용하는 것이 좋습니다.
   • 아니요: 동일한 Entra 테넌트의 모든 사용자가 토큰을 가져올 수 있으므로 분할 실험 컨트롤 플레인 옵트인 설정을 통해 연결된 분할 실험 작업 영역에 액세스할 수 있습니다.

   

사용자 및 그룹 할당

1. 사용자 및 그룹 메뉴로 돌아가서 사용자/그룹 추가를 선택합니다.

   

2. 사용자 또는 그룹을 선택하고 분할 실험 작업 영역에 대해 만든 역할 중 하나를 선택합니다.

관련 콘텐츠

• 분할 실험 작업 영역 문제 해결에 대해 알아봅니다.