Авторизация доступа к Конфигурация приложений Azure с помощью идентификатора Microsoft Entra
Помимо использования кода проверки подлинности на основе хэша сообщений (HMAC), Конфигурация приложений Azure поддерживает использование идентификатора Microsoft Entra для авторизации запросов к Конфигурация приложений экземплярам. Идентификатор Microsoft Entra позволяет использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъекту безопасности. Субъект безопасности может быть пользователем, управляемым удостоверением или субъектом-службой приложений. См. сведения в статье Дополнительные сведения о ролях.
Обзор
Создаваемые субъектом безопасности запросы на доступ к ресурсам Конфигурации приложений должны пройти авторизацию. С идентификатором Microsoft Entra доступ к ресурсу является двухэтапным процессом:
- Удостоверение субъекта безопасности проходит аутентификацию, которая возвращает токен OAuth 2.0. Имя ресурса, запрашивающее маркер, — это
https://login.microsoftonline.com/{tenantID}
место, где{tenantID}
соответствует идентификатору клиента Microsoft Entra, которому принадлежит субъект-служба. - Токен передается как часть запроса в Конфигурацию приложений для авторизации доступа к указанному ресурсу.
Для этапа аутентификации требуется, чтобы запрос от приложения содержал маркер доступа OAuth 2.0 в среде выполнения. Если приложение выполняется внутри сущности Azure, например в приложении Функций Azure, веб-приложении Azure или на виртуальной машине Azure, оно может использовать управляемое удостоверение для обращения к ресурсам. Сведения о проверке подлинности запросов, сделанных управляемым удостоверением для Конфигурация приложений Azure, см. в статье "Проверка подлинности доступа к ресурсам Конфигурация приложений Azure с помощью идентификатора Microsoft Entra и управляемых удостоверений для ресурсов Azure".
На этапе авторизации субъекту безопасности необходимо назначить одну или несколько ролей Azure. Конфигурация приложений Azure предоставляет роли RBAC с разными наборами разрешений для ресурсов Конфигурации приложений. Назначенные субъекту безопасности роли определяют разрешения, предоставляемые этому субъекту. Дополнительные сведения о ролях Azure см. в статье Встроенные роли Azure для службы "Конфигурация приложений Azure".
Назначение ролей Azure для предоставления прав доступа
Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC).
Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Доступ ограничивается ресурсом Конфигурации приложений. Субъект безопасности Microsoft Entra может быть пользователем, группой, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.
Встроенные роли Azure для Конфигурации приложений
Azure предоставляет следующие встроенные роли Azure для авторизации доступа к данным Конфигурация приложений с помощью идентификатора Microsoft Entra:
- Конфигурация приложений владелец данных. Используйте эту роль для предоставления доступа к данным Конфигурация приложений чтения и записи и удаления. Эта роль не предоставляет доступ к ресурсу Конфигурация приложений.
- Конфигурация приложений средство чтения данных: используйте эту роль для предоставления доступа на чтение к данным Конфигурация приложений. Эта роль не предоставляет доступ к ресурсу Конфигурация приложений.
- Участник или владелец: эта роль предназначена для управления ресурсом Конфигурации приложений. Она обеспечивает доступ к ключам доступа ресурса. Хотя доступ к данным Конфигурация приложений можно получить с помощью ключей доступа, эта роль не предоставляет прямой доступ к данным с помощью идентификатора Microsoft Entra. Эта роль необходима, если вы обращаетесь к данным Конфигурация приложений с помощью шаблона ARM, Bicep или Terraform во время развертывания. Дополнительные сведения см. в статье о развертывании.
- Читатель: используйте эту роль для предоставления доступа на чтение к ресурсу Конфигурация приложений. Эта роль не предоставляет доступ к ключам доступа ресурса, а также к данным, хранящимся в Конфигурация приложений.
Примечание.
После назначения удостоверению роли на применение разрешений понадобится до 15 минут, прежде чем через это удостоверение станут доступны данные в конфигурации приложения.
Следующие шаги
См. сведения об использовании управляемых удостоверений для администрирования службы Конфигурации приложений.