Авторизация доступа к Конфигурация приложений Azure с помощью идентификатора Microsoft Entra

  • Статья

Помимо использования кода проверки подлинности на основе хэша сообщений (HMAC), Конфигурация приложений Azure поддерживает использование идентификатора Microsoft Entra для авторизации запросов к Конфигурация приложений экземплярам. Идентификатор Microsoft Entra позволяет использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъекту безопасности. Субъект безопасности может быть пользователем, управляемым удостоверением или субъектом-службой приложений. См. сведения в статье Дополнительные сведения о ролях.

Обзор

Создаваемые субъектом безопасности запросы на доступ к ресурсам Конфигурации приложений должны пройти авторизацию. С идентификатором Microsoft Entra доступ к ресурсу является двухэтапным процессом:

  1. Удостоверение субъекта безопасности проходит аутентификацию, которая возвращает токен OAuth 2.0. Имя ресурса, запрашивающее маркер, — это https://login.microsoftonline.com/{tenantID} место, где {tenantID} соответствует идентификатору клиента Microsoft Entra, которому принадлежит субъект-служба.
  2. Токен передается как часть запроса в Конфигурацию приложений для авторизации доступа к указанному ресурсу.

Для этапа аутентификации требуется, чтобы запрос от приложения содержал маркер доступа OAuth 2.0 в среде выполнения. Если приложение выполняется внутри сущности Azure, например в приложении Функций Azure, веб-приложении Azure или на виртуальной машине Azure, оно может использовать управляемое удостоверение для обращения к ресурсам. Сведения о проверке подлинности запросов, сделанных управляемым удостоверением для Конфигурация приложений Azure, см. в статье "Проверка подлинности доступа к ресурсам Конфигурация приложений Azure с помощью идентификатора Microsoft Entra и управляемых удостоверений для ресурсов Azure".

На этапе авторизации субъекту безопасности необходимо назначить одну или несколько ролей Azure. Конфигурация приложений Azure предоставляет роли RBAC с разными наборами разрешений для ресурсов Конфигурации приложений. Назначенные субъекту безопасности роли определяют разрешения, предоставляемые этому субъекту. Дополнительные сведения о ролях Azure см. в статье Встроенные роли Azure для службы "Конфигурация приложений Azure".

Назначение ролей Azure для предоставления прав доступа

Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC).

Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Доступ ограничивается ресурсом Конфигурации приложений. Субъект безопасности Microsoft Entra может быть пользователем, группой, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.

Встроенные роли Azure для Конфигурации приложений

Azure предоставляет следующие встроенные роли Azure для авторизации доступа к данным Конфигурация приложений с помощью идентификатора Microsoft Entra:

  • Конфигурация приложений владелец данных. Используйте эту роль для предоставления доступа к данным Конфигурация приложений чтения и записи и удаления. Эта роль не предоставляет доступ к ресурсу Конфигурация приложений.
  • Конфигурация приложений средство чтения данных: используйте эту роль для предоставления доступа на чтение к данным Конфигурация приложений. Эта роль не предоставляет доступ к ресурсу Конфигурация приложений.
  • Участник или владелец: эта роль предназначена для управления ресурсом Конфигурации приложений. Она обеспечивает доступ к ключам доступа ресурса. Хотя доступ к данным Конфигурация приложений можно получить с помощью ключей доступа, эта роль не предоставляет прямой доступ к данным с помощью идентификатора Microsoft Entra. Эта роль необходима, если вы обращаетесь к данным Конфигурация приложений с помощью шаблона ARM, Bicep или Terraform во время развертывания. Дополнительные сведения см. в статье о развертывании.
  • Читатель: используйте эту роль для предоставления доступа на чтение к ресурсу Конфигурация приложений. Эта роль не предоставляет доступ к ключам доступа ресурса, а также к данным, хранящимся в Конфигурация приложений.

Примечание.

После назначения удостоверению роли на применение разрешений понадобится до 15 минут, прежде чем через это удостоверение станут доступны данные в конфигурации приложения.

Следующие шаги

См. сведения об использовании управляемых удостоверений для администрирования службы Конфигурации приложений.