Toegang tot Azure-app-configuratie autoriseren met behulp van Microsoft Entra-id

  • Artikel

Naast het gebruik van HMAC (Hash-based Message Authentication Code) ondersteunt Azure-app Configuration het gebruik van Microsoft Entra ID om aanvragen voor App Configuration-exemplaren te autoriseren. Met Microsoft Entra ID kunt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen te verlenen aan een beveiligingsprincipaal. Een beveiligingsprincipaal kan een gebruiker, een beheerde identiteit of een toepassingsservice-principal zijn. Zie Inzicht in verschillende rollen voor meer informatie over rollen en roltoewijzingen.

Overzicht

Aanvragen van een beveiligingsprincipaal voor toegang tot een App Configuration-resource moeten worden geautoriseerd. Met Microsoft Entra ID is toegang tot een resource een proces in twee stappen:

  1. De identiteit van de beveiligingsprincipaal wordt geverifieerd en er wordt een OAuth 2.0-token geretourneerd. De resourcenaam voor het aanvragen van een token komt https://login.microsoftonline.com/{tenantID}{tenantID} overeen met de Tenant-id van Microsoft Entra waartoe de service-principal behoort.
  2. Het token wordt doorgegeven als onderdeel van een aanvraag aan de App Configuration-service om toegang tot de opgegeven resource te autoriseren.

Voor de verificatiestap is vereist dat een toepassingsaanvraag tijdens runtime een OAuth 2.0-toegangstoken bevat. Als een toepassing wordt uitgevoerd binnen een Azure-entiteit, zoals een Azure Functions-app, een Azure-web-app of een Azure-VM, kan deze een beheerde identiteit gebruiken om toegang te krijgen tot de resources. Zie Toegang tot Azure-app Configuratie-resources verifiëren met Microsoft Entra-id en beheerde identiteiten voor Azure-resources voor meer informatie over het verifiëren van aanvragen van een beheerde identiteit voor Azure-app Configuratie.

Voor de autorisatiestap moeten een of meer Azure-rollen worden toegewezen aan de beveiligingsprincipaal. Azure-app Configuration biedt Azure-rollen die sets machtigingen voor App Configuration-resources omvatten. De rollen die aan een beveiligingsprincipaal zijn toegewezen, bepalen de machtigingen die aan de principal zijn verstrekt. Zie ingebouwde Azure-rollen voor Azure-app-configuratie voor meer informatie over Azure-rollen.

Azure-rollen toewijzen voor toegangsrechten

Microsoft Entra autoriseert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Wanneer een Azure-rol is toegewezen aan een Microsoft Entra-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Toegang is gericht op de App Configuration-resource. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Ingebouwde Azure-rollen voor Azure-app-configuratie

Azure biedt de volgende ingebouwde Azure-rollen voor het autoriseren van toegang tot App Configuration-gegevens met behulp van Microsoft Entra-id:

  • Eigenaar van app-configuratiegegevens: gebruik deze rol om lees-/schrijf-/verwijdertoegang te verlenen tot App Configuration-gegevens. Deze rol verleent geen toegang tot de App Configuration-resource.
  • App Configuration-gegevenslezer: gebruik deze rol om leestoegang te verlenen tot App Configuration-gegevens. Deze rol verleent geen toegang tot de App Configuration-resource.
  • Inzender of eigenaar: gebruik deze rol om de App Configuration-resource te beheren. Het verleent toegang tot de toegangssleutels van de resource. Hoewel de App Configuration-gegevens kunnen worden geopend met behulp van toegangssleutels, verleent deze rol geen directe toegang tot de gegevens met behulp van Microsoft Entra-id. Deze rol is vereist als u tijdens de implementatie toegang hebt tot de App Configuration-gegevens via een ARM-sjabloon, Bicep of Terraform. Zie de implementatie voor meer informatie.
  • Lezer: Gebruik deze rol om leestoegang te verlenen tot de App Configuration-resource. Deze rol verleent geen toegang tot de toegangssleutels van de resource, noch tot de gegevens die zijn opgeslagen in App Configuration.

Notitie

Nadat een roltoewijzing is gemaakt voor een identiteit, kan het maximaal 15 minuten duren voordat de machtiging wordt doorgegeven voordat toegang wordt verleend tot gegevens die zijn opgeslagen in App Configuration met behulp van deze identiteit.

Volgende stappen

Meer informatie over het gebruik van beheerde identiteiten voor het beheren van uw App Configuration-service.