Autoryzowanie dostępu do konfiguracji aplikacja systemu Azure przy użyciu identyfikatora Entra firmy Microsoft

  • Artykuł

Oprócz używania kodu uwierzytelniania komunikatów opartego na skrótach (HMAC) usługa aplikacja systemu Azure Configuration obsługuje autoryzację żądań do wystąpień usługi App Configuration przy użyciu identyfikatora Entra firmy Microsoft. Microsoft Entra ID umożliwia używanie kontroli dostępu opartej na rolach (RBAC) platformy Azure w celu udzielenia uprawnień podmiotowi zabezpieczeń. Podmiot zabezpieczeń może być użytkownikiem , tożsamością zarządzaną lub jednostką usługi aplikacji. Aby dowiedzieć się więcej na temat ról i przypisań ról, zobacz Opis różnych ról.

Omówienie

Żądania wysyłane przez podmiot zabezpieczeń w celu uzyskania dostępu do zasobu usługi App Configuration muszą być autoryzowane. W przypadku identyfikatora Entra firmy Microsoft dostęp do zasobu jest procesem dwuetapowym:

  1. Tożsamość podmiotu zabezpieczeń jest uwierzytelniana i zwracany jest token OAuth 2.0. Nazwa zasobu do żądania tokenu jest https://login.microsoftonline.com/{tenantID} zgodna {tenantID} z identyfikatorem dzierżawy firmy Microsoft Entra, do którego należy jednostka usługi.
  2. Token jest przekazywany w ramach żądania do usługi App Configuration w celu autoryzowania dostępu do określonego zasobu.

Krok uwierzytelniania wymaga, aby żądanie aplikacji zawiera token dostępu OAuth 2.0 w czasie wykonywania. Jeśli aplikacja działa w ramach jednostki platformy Azure, takiej jak aplikacja usługi Azure Functions, aplikacja internetowa platformy Azure lub maszyna wirtualna platformy Azure, może ona uzyskiwać dostęp do zasobów przy użyciu tożsamości zarządzanej. Aby dowiedzieć się, jak uwierzytelniać żądania wysyłane przez tożsamość zarządzaną w celu aplikacja systemu Azure Konfiguracji, zobacz Uwierzytelnianie dostępu do zasobów aplikacja systemu Azure Configuration przy użyciu identyfikatora Entra firmy Microsoft i tożsamości zarządzanych dla zasobów platformy Azure.

Krok autoryzacji wymaga przypisania co najmniej jednej roli platformy Azure do podmiotu zabezpieczeń. aplikacja systemu Azure Configuration udostępnia role platformy Azure, które obejmują zestawy uprawnień dla zasobów usługi App Configuration. Role przypisane do podmiotu zabezpieczeń określają uprawnienia podane do podmiotu zabezpieczeń. Aby uzyskać więcej informacji na temat ról platformy Azure, zobacz Role wbudowane platformy Azure dla usługi aplikacja systemu Azure Configuration.

Przypisywanie ról platformy Azure na potrzeby praw dostępu

Firma Microsoft Entra autoryzuje prawa dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu na podstawie ról (RBAC) platformy Azure.

Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń firmy Microsoft Entra platforma Azure udziela dostępu do tych zasobów dla tego podmiotu zabezpieczeń. Zakres dostępu do zasobu usługi App Configuration. Podmiot zabezpieczeń firmy Microsoft Entra może być użytkownikiem, grupą, jednostką usługi aplikacji lub tożsamością zarządzaną dla zasobów platformy Azure.

Wbudowane role platformy Azure dla konfiguracji aplikacja systemu Azure

Platforma Azure udostępnia następujące wbudowane role platformy Azure umożliwiające autoryzowanie dostępu do danych usługi App Configuration przy użyciu identyfikatora Entra firmy Microsoft:

  • Właściciel danych konfiguracji aplikacji: ta rola umożliwia dostęp do odczytu/zapisu/usuwania danych usługi App Configuration. Ta rola nie udziela dostępu do zasobu usługi App Configuration.
  • Czytelnik danych konfiguracji aplikacji: ta rola umożliwia dostęp do odczytu do danych usługi App Configuration. Ta rola nie udziela dostępu do zasobu usługi App Configuration.
  • Współautor lub właściciel: ta rola służy do zarządzania zasobem usługi App Configuration. Udziela ona dostępu do kluczy dostępu zasobu. Chociaż dostęp do danych usługi App Configuration można uzyskać przy użyciu kluczy dostępu, ta rola nie udziela bezpośredniego dostępu do danych przy użyciu identyfikatora Entra firmy Microsoft. Ta rola jest wymagana, jeśli podczas wdrażania uzyskujesz dostęp do danych usługi App Configuration za pośrednictwem szablonu usługi ARM, aplikacji Bicep lub narzędzia Terraform. Aby uzyskać więcej informacji, zobacz wdrażanie.
  • Czytelnik: użyj tej roli, aby udzielić dostępu do odczytu do zasobu usługi App Configuration. Ta rola nie udziela dostępu do kluczy dostępu zasobu ani do danych przechowywanych w usłudze App Configuration.

Uwaga

Po przypisaniu roli dla tożsamości zaczekaj do 15 minut na propagację uprawnień przed uzyskaniem dostępu do danych przechowywanych w usłudze App Configuration przy użyciu tej tożsamości.

Następne kroki

Dowiedz się więcej na temat administrowania usługą App Configuration przy użyciu tożsamości zarządzanych .