Compartilhar via

Configurar o controle de acesso a dados para Workspace de Experimentação Dividida (versão prévia)

  • Artigo

A Experimentação Dividida na Configuração de Aplicativos do Azure (versão prévia) usa o Microsoft Entra para autorizar solicitações para recursos do Workspace de Experimentação Dividida. O Microsoft Entra também permite o uso de funções personalizadas para conceder permissões a entidades de segurança.

Visão geral do controle de acesso a dados

Todas as solicitações feitas ao Workspace de Experimentação Dividida devem ser autorizadas. Para configurar uma política de controle de acesso, crie um novo registro de aplicativo do Microsoft Entra ou use um existente. O aplicativo registrado fornece a política de autenticação, princípios de segurança, definições de função etc., para permitir o acesso ao Workspace de Experimentação Dividida.

Opcionalmente, um único aplicativo empresarial do Microsoft Entra pode ser usado para controlar o acesso a vários workspaces de experimentação dividida.

Para configurar a política de controle de acesso para o Workspace de Experimentação Dividida, é necessária uma operação de plano de controle. A Experimentação Dividida requer apenas a ID do aplicativo para configurar a política de acesso. O referido aplicativo Entra é de propriedade e totalmente controlado pelo cliente. O aplicativo deve estar no mesmo locatário do Microsoft Entra, no qual o recurso Workspace de Experimentação Dividida é provisionado ou considerado provisionado.

Com o Microsoft Entra, o acesso a um recurso é um processo de duas etapas:

  1. A identidade da entidade de segurança é autenticada e um token OAuth 2.0 é emitido. O nome do recurso usado para solicitar um token é https://login.microsoftonline.com/<tenantID>, em que <tenantID> corresponde ao ID do locatário do Microsoft Entra ao qual pertence a entidade de serviço. Verifique se o escopo é api://{Entra application ID>/.default, em que <Entra application ID> corresponde ao ID do aplicativo vinculado como política de acesso ao recurso Workspace de Experimentação Dividida.
  2. O token é passado como parte de uma solicitação para o serviço de Configuração de Aplicativos para autorizar o acesso ao recurso especificado.

Registrar um aplicativo

Registre um novo aplicativo ou use um registro de aplicativo existente do Microsoft Entra para executar sua experimentação.

Para registrar um novo aplicativo:

  1. Vá para Identidade>Aplicativos>Registros de aplicativo.

    Captura de tela do centro de administração do Microsoft Entra mostrando a página Registros de aplicativo.

  2. Insira um Nome para o aplicativo e, em Tipos de contas com suporte, selecione Somente contas neste diretório organizacional.

Observação

O aplicativo deve estar no mesmo locatário do Microsoft Entra no qual o Workspace de Experimentação Dividida é provisionado ou considerado provisionado. Somente um registro básico é necessário neste momento. Leia mais sobre este tópico em Registrar um aplicativo.

Habilitar o aplicativo Entra para ser usado como audiência

Configure o URI de ID do aplicativo para permitir que o aplicativo Entra seja usado como audiência/escopo global ao solicitar um token de autenticação.

  1. Abra seu aplicativo no portal do Azure e, em Visão geral, obtenha o URI de ID do aplicativo.

    Captura de tela do aplicativo no portal do Azure.

  2. De volta ao centro de administração do Microsoft Entra, em Identidade>Aplicativos>Registros de aplicativo, abra o aplicativo selecionando o Nome de exibição.

  3. No painel aberto, selecione Expor uma API e verifique se o valor do URI de ID do aplicativo é: api://<Entra application ID> em que Entra application ID deve ser a mesma ID do aplicativo Microsoft Entra.

    Captura de tela do centro de administração do Microsoft Entra mostrando a página Registros de aplicativo.

Permitir que os usuários solicitem acesso à Experimentação Dividida do portal do Azure

A interface de usuário do portal do Azure é efetivamente a experiência do usuário para o Workspace de Experimentação Dividida. Ele interage com o plano de dados da Experimentação Dividida para configurar métricas, criar/atualizar/arquivar/excluir experimentos, obter resultados do experimento etc.

Você deve pré-autenticar a interface do usuário de divisão do portal do Azure para conseguir isso.

Adicionar escopo

No centro de administração do Microsoft Entra, acesse o aplicativo e abra o menu Expor uma API à esquerda e selecione Adicionar um Escopo.

Captura de tela do centro de administração do Microsoft Entra mostrando como adicionar um escopo.

  1. Em Quem pode consentir?, selecione Administradores e usuários.
  2. Insira Nome de exibição do consentimento do administrador e uma Descrição do consentimento do administrador.

Autorizar a ID do Provedor de Recursos de Experimentação Dividida

  1. Permanecendo no menu Expor uma API, role para baixo até Aplicativos cliente autorizados>Adicionar um aplicativo cliente e insira a ID do Cliente correspondente à ID do Provedor de Recursos de Experimentação Dividida: d3e90440-4ec9-4e8b-878b-c89e889e9fbc.

    Captura de tela do centro de administração do Microsoft Entra mostrando como autorizar a ID do Provedor de Recursos de Experimentação Dividida.

  2. Escolha Adicionar aplicativo.

Adicionar funções de autorização

O Workspace de Experimentação Dividida oferece suporte a funções conhecidas para controle de acesso ao escopo. Adicione as seguintes funções no aplicativo Entra.

  1. Vá para o menu Funções de aplicativo e selecione Criar função de aplicativo.

  2. Selecione ou insira as seguintes informações no painel que é aberto para criar uma primeira função:

    • Nome de exibição: insira ExperimentationDataOwner
    • Tipos de membros permitidos: selecione Ambos (Usuários/Grupos + Aplicativos)
    • Valor: insira ExperimentationDataOwner
    • Descrição: insira Acesso de leitura e gravação ao Workspace de Experimentação
    • Deseja habilitar essa função de aplicativo?: marque esta caixa.

    Captura de tela do centro de administração do Microsoft Entra mostrando como criar uma função de aplicativo.

  3. Crie uma segunda função:

    • Nome de exibição: insira ExperimentationDataReader
    • Tipos de membros permitidos: selecione Ambos (Usuários/Grupos + Aplicativos)
    • Valor: insira ExperimentationDataReader
    • Descrição: insira Acesso somente leitura ao Workspace de Experimentação
    • Deseja habilitar essa função de aplicativo?: marque esta caixa.

Configurar usuário e atribuições de função

Escolher uma opção de requisito de atribuição

  1. Vá para o menu Visão geral e selecione o link em Aplicativo gerenciado no diretório local

  2. Abra Gerenciar>Propriedades e selecione sua opção preferida para a configuração Atribuição necessária.

    • Sim: significa que somente as entradas explicitamente definidas em Usuários e Grupos no aplicativo empresarial podem obter um token e, portanto, acessar o Workspace de Experimentação Dividida associado. Essa é a opção indicada.
    • Não: significa que todos no mesmo locatário Entra podem obter tokens e, portanto, podem ter permissão, por meio da configuração de aceitação do plano de controle de Experimentação Dividida, para acessar o Workspace de Experimentação Dividida associado.

    Captura de tela do centro de administração do Microsoft Entra mostrando como solicitar uma atribuição.

Atribuir usuários e grupos

  1. Vá para o menu Usuários e grupos e selecione Adicionar usuário/grupo

    Captura de tela do centro de administração do Microsoft Entra mostrando como atribuir funções aos usuários.

  2. Selecione um usuário ou um grupo e selecione uma das funções que você criou para o Workspace de Experimentação Dividida.

Conteúdo relacionado