Настройка управления доступом к данным для рабочей области split Experimentation (предварительная версия)

Разделение экспериментов в Конфигурация приложений Azure (предварительная версия) использует Microsoft Entra для авторизации запросов к ресурсам рабочей области split Experimentation. Microsoft Entra также позволяет использовать пользовательские роли для предоставления разрешений субъектам безопасности.

Обзор управления доступом к данным

Все запросы, сделанные в рабочую область разделения экспериментов, должны быть авторизованы. Чтобы настроить политику управления доступом, создайте новую регистрацию приложения Microsoft Entra или используйте существующую. Зарегистрированное приложение предоставляет политику проверки подлинности, принципы безопасности, определения ролей и т. д., чтобы разрешить доступ к рабочей области разделения экспериментов.

При необходимости можно использовать одно приложение Microsoft Entra Enterprise для управления доступом к нескольким рабочим областям разделения экспериментов.

Чтобы настроить политику контроль доступа для рабочей области split Experimentation, требуется операция плоскости управления. Разделение экспериментов требует только идентификатора приложения для настройки политики доступа. Указанное приложение Entra принадлежит и полностью контролируется клиентом. Приложение должно находиться в том же клиенте Microsoft Entra, в котором ресурс рабочей области split Experimentation подготовлен или считается подготовленным.

При использовании Microsoft Entra доступ к ресурсу настраивается в двухфакторном процессе:

1. Удостоверение субъекта безопасности проходит проверку подлинности, и выдается маркер OAuth 2.0. Имя ресурса, используемое для запроса маркера, где https://login.microsoftonline.com/<tenantID><tenantID> соответствует идентификатору клиента Microsoft Entra, которому принадлежит субъект-служба. Убедитесь, что область соответствует api://{Entra application ID>/.defaultидентификатору приложения, <Entra application ID> связанному с политикой доступа к ресурсу рабочей области split Experimentation.
2. Токен передается как часть запроса в Конфигурацию приложений для авторизации доступа к указанному ресурсу.

Регистрация приложения

Зарегистрируйте новое приложение или используйте существующую регистрацию приложения Microsoft Entra для выполнения экспериментов.

Чтобы зарегистрировать новое приложение, выполните приведенные действия.

1. В Центре администрирования Майкрософт перейдите к приложениям> удостоверений>Регистрация приложений.

   

2. Введите имя приложения и в разделе "Поддерживаемые типы учетных записей" выберите "Учетные записи" только в этом каталоге организации.

Примечание.

Приложение должно находиться в том же клиенте Microsoft Entra, в котором подготовлена или считается подготовленная рабочая область разделения экспериментов. На этом этапе требуется только базовая регистрация. Дополнительные сведения об этой статье см. в статье "Регистрация приложения".

Включение приложения Entra для использования в качестве аудитории

Настройте URI идентификатора приложения, чтобы разрешить приложению Entra использовать его в качестве глобальной аудитории или области при запросе маркера проверки подлинности.

1. В Центре администрирования Microsoft Entra в приложениях> удостоверений>Регистрация приложений откройте приложение, выбрав отображаемое имя. В открывающейся области в разделе "Обзор" скопируйте URI идентификатора приложения. Если вместо URI идентификатора приложения вы видите URI идентификатора приложения, выберите этот параметр, а затем нажмите кнопку "Добавить и сохранить".

   

2. Затем выберите "Предоставить API " в меню слева приложения. Убедитесь, что значение URI идентификатора приложения равно: api://<Entra application ID> где Entra application ID должен быть тот же идентификатор приложения Microsoft Entra.

   

Разрешить пользователям запрашивать доступ к разделению экспериментов из портал Azure

Пользовательский интерфейс портал Azure фактически является пользовательским интерфейсом для рабочей области разделения экспериментов. Он взаимодействует с плоскости данных разделения экспериментов для настройки метрик, создания и обновления, архива и удаления экспериментов, получения результатов эксперимента и т. д.

Для этого необходимо предварительно выполнить проверку подлинности портал Azure разделение пользовательского интерфейса.

Добавить область

В Центре администрирования Microsoft Entra перейдите к приложению и откройте меню "Предоставление API слева", а затем выберите " Добавить область".

1. В разделе "Кто может согласиться?", выберите "Администраторы" и "Пользователи".
2. Введите отображаемое имя согласия администратора и описание согласия администратора.

Авторизовать идентификатор поставщика ресурсов для разделения экспериментов

1. Оставаясь в меню "Предоставление api", прокрутите вниз до авторизованных клиентских приложений>Добавьте клиентское приложение и введите идентификатор клиента, соответствующий идентификатору поставщика ресурсов разделения экспериментов: d3e90440-4ec9-4e8b-878b-c89e89e9e9fbc.

   

2. Выберите Добавить приложение.

Добавление ролей авторизации

Рабочая область split Experimentation поддерживает известные роли для управления доступом. Добавьте следующие роли в приложение Entra.

1. Перейдите в меню ролей приложения и выберите " Создать роль приложения".

2. Выберите или введите следующие сведения в области, которая откроется для создания роли ExperimentationDataOwner . Эта роль предоставляет приложению полный доступ для выполнения всех операций с ресурсом split Experimentation.

   • Отображаемое имя: введите ExperimentationDataOwner
   • Разрешенные типы элементов: выберите оба (пользователи и группы и приложения)
   • Значение введите ExperimentationDataOwner
   • Описание. Введите доступ на чтение и запись в рабочую область экспериментирования
   • Включите эту роль приложения?: установите этот флажок.

   

3. Создайте роль ExperimentationDataReader. Эта роль предоставляет приложению доступ на чтение ресурса split Experimentation, но не позволяет вносить изменения.

   • Отображаемое имя: введите ExperimentationDataReader
   • Разрешенные типы элементов: выберите оба (пользователи и группы и приложения)
   • Значение введите ExperimentationDataReader
   • Описание: введите доступ только для чтения к рабочей области экспериментирования
   • Включите эту роль приложения?: установите этот флажок.

Настройка назначений пользователей и ролей

Выбор параметра требования к назначению

1. Перейдите в меню "Обзор " приложения и выберите ссылку в разделе "Управляемое приложение" в локальном каталоге. Откроется приложение в меню приложения Центра администрирования Майкрософт Identity>Enterprise.

2. Откройте окно "Управление свойствами>" слева и выберите предпочитаемый параметр для параметра "Назначение".

   • Да: означает, что только записи, явно определенные в разделе "Пользователи и группы " в корпоративном приложении, могут получить маркер и, следовательно, получить доступ к связанной рабочей области разделения экспериментов. Это желательно сделать.
   • Нет: означает, что каждый пользователь в одном клиенте Entra может получить маркеры и, следовательно, может быть разрешен с помощью параметра параметров уровня управления Split Experimentation, чтобы получить доступ к связанной рабочей области split Experimentation.

   

Назначить пользователей и группы

1. Вернитесь в меню "Пользователи и группы " и выберите " Добавить пользователя или группу"

   

2. Выберите пользователя или группу и выберите одну из ролей, созданных для рабочей области разделения экспериментов.

Связанный контент

• Узнайте об устранении неполадок с рабочей областью разделения экспериментов.