Toegang tot Azure App Configuration autoriseren met behulp van Azure Active Directory

Naast het gebruik van HMAC (Hash-based Message Authentication Code) ondersteunt Azure App Configuration het gebruik van Azure Active Directory (Azure AD) om aanvragen voor App Configuration instanties te autoriseren. Met Azure AD kunt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen te verlenen aan een beveiligingsprincipaal. Een beveiligingsprincipaal kan een gebruiker, een beheerde identiteit of een toepassingsservice-principal zijn. Zie Inzicht in verschillende rollen voor meer informatie over rollen en roltoewijzingen.

Overzicht

Aanvragen van een beveiligingsprincipaal voor toegang tot een App Configuration resource moeten worden geautoriseerd. Met Azure AD is toegang tot een resource een proces in twee stappen:

  1. De identiteit van de beveiligingsprincipaal wordt geverifieerd en er wordt een OAuth 2.0-token geretourneerd. De resourcenaam voor het aanvragen van een token komt https://login.microsoftonline.com/{tenantID}{tenantID} overeen met de Azure Active Directory tenant-id waartoe de service-principal behoort.
  2. Het token wordt doorgegeven als onderdeel van een aanvraag aan de App Configuration-service om toegang tot de opgegeven resource te autoriseren.

Voor de verificatiestap moet een toepassingsaanvraag tijdens runtime een OAuth 2.0-toegangstoken bevatten. Als een toepassing wordt uitgevoerd binnen een Azure-entiteit, zoals een Azure Functions-app, een Azure-web-app of een Azure-VM, kan deze een beheerde identiteit gebruiken om toegang te krijgen tot de resources. Zie Toegang tot Azure App Configuration resources verifiëren met Azure Active Directory en beheerde identiteiten voor Azure-resources voor meer informatie over het verifiëren van aanvragen van een beheerde identiteit voor Azure App Configuration.

Voor de autorisatiestap moet een of meer Azure-rollen worden toegewezen aan de beveiligingsprincipaal. Azure App Configuration biedt Azure-rollen die sets machtigingen voor App Configuration resources omvatten. De rollen die aan een beveiligingsprincipaal zijn toegewezen, bepalen de machtigingen die aan de principal zijn verleend. Zie ingebouwde Azure-rollen voor Azure App Configuration voor meer informatie over Azure-rollen.

Azure-rollen toewijzen voor toegangsrechten

Azure Active Directory (Azure AD) autoriseert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Wanneer een Azure-rol is toegewezen aan een Azure AD-beveiligingsprincipaal, verleent Azure toegang tot die resources voor die beveiligingsprincipaal. Toegang is beperkt tot de App Configuration-resource. Een Azure AD-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Ingebouwde Azure-rollen voor Azure App Configuration

Azure biedt de volgende ingebouwde Azure-rollen voor het autoriseren van toegang tot App Configuration gegevens met behulp van Azure AD:

  • App Configuration gegevenseigenaar: gebruik deze rol om lees-/schrijf-/verwijdertoegang te geven tot App Configuration gegevens. Hiermee verleent u geen toegang tot de App Configuration resource.
  • App Configuration Gegevenslezer: gebruik deze rol om leestoegang te geven tot App Configuration gegevens. Hiermee verleent u geen toegang tot de App Configuration resource.
  • Inzender of eigenaar: gebruik deze rol om de App Configuration resource te beheren. Het verleent toegang tot de toegangssleutels van de resource. Hoewel de App Configuration gegevens kunnen worden geopend met behulp van toegangssleutels, verleent deze rol geen directe toegang tot de gegevens met behulp van Azure AD.
  • Lezer: Gebruik deze rol om leestoegang te verlenen tot de App Configuration resource. Hiermee verleent u geen toegang tot de toegangssleutels van de resource, noch tot de gegevens die zijn opgeslagen in App Configuration.

Notitie

Nadat een roltoewijzing is gemaakt voor een identiteit, kunt u maximaal 15 minuten toestaan voordat de machtiging wordt doorgegeven voordat u toegang krijgt tot gegevens die zijn opgeslagen in App Configuration met behulp van deze identiteit.

Volgende stappen

Meer informatie over het gebruik van beheerde identiteiten voor het beheren van uw App Configuration-service.