Gegevenstoegangsbeheer instellen voor Split Experimentation Workspace (preview)

Split Experimentation in Azure-app Configuration (preview) maakt gebruik van Microsoft Entra voor het autoriseren van aanvragen voor resources van de Split Experimentation Workspace. Microsoft Entra maakt het gebruik van aangepaste rollen ook mogelijk om machtigingen te verlenen aan beveiligingsprinciplen.

Overzicht van gegevenstoegangsbeheer

Alle aanvragen die zijn gedaan in de werkruimte Split Experimentation, moeten zijn geautoriseerd. Als u een toegangsbeheerbeleid wilt instellen, maakt u een nieuwe Microsoft Entra-toepassingsregistratie of gebruikt u een bestaand beleid. De geregistreerde toepassing biedt het verificatiebeleid, beveiligingsprincipes, roldefinities, enzovoort, voor toegang tot Split Experimentation Workspace.

Optioneel kan één Microsoft Entra Enterprise-toepassing worden gebruikt om de toegang tot meerdere Split Experimentation-werkruimten te beheren.

Voor het instellen van het toegangsbeheerbeleid voor Split Experimentation Workspace is een besturingsvlakbewerking nodig. Split Experimentation vereist alleen de toepassings-id om het toegangsbeleid in te stellen. De genoemde Entra-toepassing is eigendom van en volledig beheerd door de klant. De toepassing moet zich in dezelfde Microsoft Entra-tenant bevinden, waarin de resource Split Experimentation Workspace wordt ingericht of als wordt beschouwd als ingericht.

Met Microsoft Entra wordt de toegang tot een resource ingesteld in een proces in twee stappen:

1. De identiteit van de beveiligingsprincipaal wordt geverifieerd en er wordt een OAuth 2.0-token uitgegeven. De resourcenaam die wordt gebruikt om een token aan te vragen, is https://login.microsoftonline.com/<tenantID>, waarbij <tenantID> deze overeenkomt met de Tenant-id van Microsoft Entra waartoe de service-principal behoort. Zorg ervoor dat het bereik is api://{Entra application ID>/.default, waarbij deze overeenkomt met <Entra application ID> de toepassings-id die is gekoppeld als toegangsbeleid voor de resource Split Experimentation Workspace.
2. Het token wordt doorgegeven als onderdeel van een aanvraag aan de App Configuration-service om toegang tot de opgegeven resource te autoriseren.

Een toepassing registreren

Registreer een nieuwe app of gebruik een bestaande Microsoft Entra-toepassingsregistratie om uw experimenten uit te voeren.

Ga als volgt te werk om een nieuwe app te registreren:

1. Ga in het Microsoft-beheercentrum naar Identiteitstoepassingen>> App-registraties.

   

2. Voer een naam in voor uw app en selecteer onder Ondersteunde accounttypen alleen Accounts in deze organisatiemap.

Notitie

De toepassing moet zich in dezelfde Microsoft Entra-tenant bevinden waarin de Split Experimentation Workspace wordt ingericht of als wordt beschouwd als ingericht. Op dit moment is alleen een basisregistratie nodig. Lees meer over dit onderwerp bij Een toepassing registreren.

Entra-toepassing inschakelen voor gebruik als doelgroep

Configureer de URI van de toepassings-id zodat de Entra-toepassing kan worden gebruikt als globale doelgroep/bereik bij het aanvragen van een verificatietoken.

1. Open uw toepassing in het Microsoft Entra-beheercentrum in Identiteitstoepassingen>> App-registraties door de weergavenaam te selecteren. Kopieer in het deelvenster dat wordt geopend onder Overzicht de URI van de toepassings-id. Als u in plaats van de URI van de toepassings-id een URI voor toepassings-id's ziet, selecteert u deze optie en selecteert u Vervolgens Toevoegen en Opslaan.

   

2. Selecteer vervolgens Een API beschikbaar maken in het linkermenu van de app. Zorg ervoor dat de URI-waarde van de toepassings-id is: api://<Entra application ID> waar Entra application ID moet dezelfde Microsoft Entra-toepassings-id zijn.

   

Gebruikers toestaan toegang te vragen tot Split Experimentation vanuit de Azure-portal

De gebruikersinterface van Azure Portal is in feite de UX voor Split Experimentation Workspace. Het communiceert met het gegevensvlak Split Experimentation om metrische gegevens in te stellen, experimenten maken/bijwerken/archiveren/verwijderen, experimentresultaten ophalen, enzovoort.

U moet de gesplitste gebruikersinterface van Azure Portal vooraf autoriseren om dat te bereiken.

Bereik toevoegen

Ga in het Microsoft Entra-beheercentrum naar uw app en open het linkermenu Een API beschikbaar maken en selecteer vervolgens Een bereik toevoegen.

1. Onder Wie kan toestemming geven?, selecteert u Beheerders en gebruikers.
2. Voer een weergavenaam voor beheerderstoestemming en een beschrijving van beheerderstoestemming in.

Id van split experimentation-resourceprovider autoriseren

1. Blijf in het menu Een API beschikbaar maken, schuif omlaag naar geautoriseerde clienttoepassingen>Voeg een clienttoepassing toe en voer de client-id in die overeenkomt met de id van de Split Experimentation Resource Provider: d3e90440-4ec9-4e8b-878b-c89e9fbc.

   

2. Selecteer Toepassing toevoegen.

Autorisatierollen toevoegen

Split Experimentation-werkruimte ondersteunt bekende rollen voor het bereik van toegangsbeheer. Voeg de volgende rollen toe in de Entra-toepassing.

1. Ga naar het menu App-rollen van uw app en selecteer App-rol maken.

2. Selecteer of voer de volgende informatie in het deelvenster in dat wordt geopend om een rol ExperimentationDataOwner te maken. Deze rol geeft de app volledige toegang om alle bewerkingen uit te voeren op de Split Experimentation-resource.

   • Weergavenaam: Voer ExperimentationDataOwner in
   • Toegestane lidtypen: selecteer Beide (gebruikers/groepen en toepassingen)
   • Waarde voer ExperimentationDataOwner in
   • Beschrijving: voer lees-/schrijftoegang in tot de experimenteerwerkruimte
   • Wilt u deze app-rol inschakelen?: Schakel dit selectievakje in.

   

3. Maak een ExperimentationDataReader-rol . Met deze rol krijgt de app leestoegang tot de Split Experimentation-resource, maar kan deze geen wijzigingen aanbrengen.

   • Weergavenaam: Voer ExperimentationDataReader in
   • Toegestane lidtypen: selecteer Beide (gebruikers/groepen en toepassingen)
   • Waarde voer ExperimentationDataReader in
   • Beschrijving: geef alleen-lezentoegang op tot de experimentatiewerkruimte
   • Wilt u deze app-rol inschakelen?: Schakel dit selectievakje in.

Gebruikers- en roltoewijzingen configureren

Een optie voor toewijzingsvereiste kiezen

1. Ga naar het menu Overzicht van uw app en selecteer de koppeling onder Beheerde toepassing in de lokale map. Hiermee opent u uw app in het menu Identity>Enterprise Application van Het Microsoft-beheercentrum.

2. Open Eigenschappen beheren>aan de linkerkant en selecteer de gewenste optie voor de vereiste instelling Toewijzing.

   • Ja: betekent dat alleen de vermeldingen die expliciet zijn gedefinieerd onder Gebruikers en groepen in de bedrijfstoepassing, een token kunnen verkrijgen en daarom toegang hebben tot de bijbehorende Split Experimentation-werkruimte. Dit is de aanbevolen optie.
   • Nee: betekent dat iedereen in dezelfde Entra-tenant tokens kan verkrijgen en daarom kan worden toegestaan via de opt-in-instelling voor split experimentation om toegang te krijgen tot de bijbehorende Split Experimentation-werkruimte.

   

Gebruikers en groepen toewijzen

1. Ga terug naar het menu Gebruikers en groepen en selecteer Gebruiker/groep toevoegen

   

2. Selecteer een gebruiker of groep en selecteer een van de rollen die u hebt gemaakt voor de werkruimte Split Experimentation.

Gerelateerde inhoud

• Meer informatie over het oplossen van problemen met Split Experimentation Workspace.