Konfigurera dataåtkomstkontroll för arbetsytan Dela experimentering (förhandsversion)
Split Experimentation in Azure App Configuration (förhandsversion) använder Microsoft Entra för att auktorisera begäranden om resurser för delad experimenteringsarbetsyta. Microsoft Entra gör det också möjligt att använda anpassade roller för att bevilja behörigheter till säkerhetsobjekt.
Översikt över dataåtkomstkontroll
Alla begäranden som görs till arbetsytan Dela experimentering måste vara auktoriserade. Om du vill konfigurera en princip för åtkomstkontroll skapar du en ny Microsoft Entra-programregistrering eller använder en befintlig. Det registrerade programmet tillhandahåller autentiseringsprincip, säkerhetsprinciper, rolldefinitioner osv., för att ge åtkomst till arbetsytan Dela experimentering.
Du kan också använda ett enda Microsoft Entra Enterprise-program för att styra åtkomsten till flera arbetsytor för delade experiment.
För att konfigurera åtkomstkontrollprincipen för arbetsytan Dela experimentering krävs en kontrollplansåtgärd. Split Experimentation kräver bara att program-ID:t konfigurerar åtkomstprincipen. Entra-programmet ägs och kontrolleras fullt ut av kunden. Programmet måste finnas i samma Microsoft Entra-klientorganisation, där resursen Split Experimentation Workspace etableras eller anses vara etablerad.
Med Microsoft Entra konfigureras åtkomst till en resurs i en tvåstegsprocess:
- Säkerhetsobjektets identitet autentiseras och en OAuth 2.0-token utfärdas. Resursnamnet som används för att begära en token är
https://login.microsoftonline.com/<tenantID>
, där<tenantID>
matchar Microsoft Entra-klient-ID:t som tjänstens huvudnamn tillhör. Kontrollera att omfånget ärapi://{Entra application ID>/.default
, där<Entra application ID>
matchar det program-ID som är länkat som åtkomstprincip till resursen Dela experimenteringsarbetsyta. - Token skickas som en del av en begäran till App Configuration-tjänsten för att auktorisera åtkomst till den angivna resursen.
Registrera en app
Registrera en ny app eller använd en befintlig Microsoft Entra-programregistrering för att köra experimenteringen.
Så här registrerar du en ny app:
Gå till Identitetsprogram>> Appregistreringar.
Ange ett namn för din app och under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.
Kommentar
Programmet måste finnas i samma Microsoft Entra-klientorganisation där arbetsytan Dela experimentering etableras eller anses vara etablerad. Det behövs bara en grundläggande registrering i det här läget. Läs mer om det här avsnittet i Registrera ett program.
Aktivera Entra-program som ska användas som målgrupp
Konfigurera program-ID-URI:n så att Entra-programmet kan användas som global målgrupp/omfång när du begär en autentiseringstoken.
Öppna appen i Azure-portalen och under Översikt hämtar du program-ID-URI:n.
I administrationscentret för Microsoft Entra öppnar du programmet i Identity>Applications> Appregistreringar genom att välja dess visningsnamn.
I fönstret som öppnas väljer du Exponera ett API och Kontrollera att URI-värdet för program-ID är:
api://<Entra application ID>
varEntra application ID
måste vara samma Microsoft Entra-program-ID.
Tillåt användare att begära åtkomst till Split Experimentation från Azure-portalen
Användargränssnittet i Azure-portalen är i praktiken arbetsytan UX för delade experiment. Den interagerar med dataplanet Dela experimentering för att konfigurera mått, skapa/uppdatera/arkivera/ta bort experiment, hämta experimentresultat osv.
Du måste förauktorisera Gränssnittet för delning av Azure-portalen för att uppnå detta.
Lägg till omfång
I administrationscentret för Microsoft Entra går du till din app och öppnar menyn Exponera ett API till vänster och väljer sedan Lägg till ett omfång.
- Under Vem kan samtycka?, väljer du Administratörer och användare.
- Ange ett visningsnamn för administratörsmedgivande och en beskrivning av administratörsmedgivande.
Auktorisera resursprovider-ID för delade experiment
I menyn Exponera ett API rullar du ned till Auktoriserade klientprogram Lägg till ett klientprogram> och anger det klient-ID som motsvarar resursproviderns ID för delade experiment: d3e90440-4ec9-4e8b-878b-c89e889e9fbc.
Välj Lägg till program.
Lägga till auktoriseringsroller
Arbetsytan Dela experimentering har stöd för välkända roller för att begränsa åtkomstkontroll. Lägg till följande roller i Entra-programmet.
Gå till menyn Approller och välj Skapa approll.
Välj eller ange följande information i fönstret som öppnas för att skapa en första roll:
- Visningsnamn: ange ExperimentationDataOwner
- Tillåtna medlemstyper: välj Båda (användare/grupper + program)
- Värde anger ExperimentationDataOwner
- Beskrivning: ange läs-skrivåtkomst till experimenteringsarbetsyta
- Vill du aktivera den här approllen?: Markera den här rutan.
Skapa en andra roll:
- Visningsnamn: ange ExperimentationDataReader
- Tillåtna medlemstyper: välj Båda (användare/grupper + program)
- Värde anger ExperimentationDataReader
- Beskrivning: ange skrivskyddad åtkomst till experimenteringsarbetsyta
- Vill du aktivera den här approllen?: Markera den här rutan.
Konfigurera användar- och rolltilldelningar
Välj ett alternativ för tilldelningskrav
Gå till menyn Översikt och välj länken under till Hanterat program i den lokala katalogen
Öppna Hantera>egenskaper och välj önskat alternativ för inställningen Tilldelning krävs .
- Ja: innebär att endast de poster som uttryckligen definierats under Användare och grupper i företagsprogrammet kan hämta en token och därför komma åt den associerade arbetsytan Dela experimentering. Det här är det rekommenderade alternativet.
- Nej: innebär att alla i samma Entra-klientorganisation kan hämta token och därför kan tillåtas att komma åt den associerade arbetsytan Split Experimentation via kontrollplanet För delningsexperiment.
Tilldela användare och grupper
Gå till menyn Användare och grupper och välj Lägg till användare/grupp
Välj en användare eller grupp och välj en av de roller som du skapade för arbetsytan Dela experimentering.
Relaterat innehåll
- Läs mer om att felsöka arbetsytan Dela experimentering.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för