Dela via

Konfigurera dataåtkomstkontroll för arbetsytan Dela experimentering (förhandsversion)

  • Artikel

Split Experimentation in Azure App Configuration (förhandsversion) använder Microsoft Entra för att auktorisera begäranden om resurser för delad experimenteringsarbetsyta. Microsoft Entra gör det också möjligt att använda anpassade roller för att bevilja behörigheter till säkerhetsobjekt.

Översikt över dataåtkomstkontroll

Alla begäranden som görs till arbetsytan Dela experimentering måste vara auktoriserade. Om du vill konfigurera en princip för åtkomstkontroll skapar du en ny Microsoft Entra-programregistrering eller använder en befintlig. Det registrerade programmet tillhandahåller autentiseringsprincip, säkerhetsprinciper, rolldefinitioner osv., för att ge åtkomst till arbetsytan Dela experimentering.

Du kan också använda ett enda Microsoft Entra Enterprise-program för att styra åtkomsten till flera arbetsytor för delade experiment.

För att konfigurera åtkomstkontrollprincipen för arbetsytan Dela experimentering krävs en kontrollplansåtgärd. Split Experimentation kräver bara att program-ID:t konfigurerar åtkomstprincipen. Entra-programmet ägs och kontrolleras fullt ut av kunden. Programmet måste finnas i samma Microsoft Entra-klientorganisation, där resursen Split Experimentation Workspace etableras eller anses vara etablerad.

Med Microsoft Entra konfigureras åtkomst till en resurs i en tvåstegsprocess:

  1. Säkerhetsobjektets identitet autentiseras och en OAuth 2.0-token utfärdas. Resursnamnet som används för att begära en token är https://login.microsoftonline.com/<tenantID>, där <tenantID> matchar Microsoft Entra-klient-ID:t som tjänstens huvudnamn tillhör. Kontrollera att omfånget är api://{Entra application ID>/.default, där <Entra application ID> matchar det program-ID som är länkat som åtkomstprincip till resursen Dela experimenteringsarbetsyta.
  2. Token skickas som en del av en begäran till App Configuration-tjänsten för att auktorisera åtkomst till den angivna resursen.

Registrera en app

Registrera en ny app eller använd en befintlig Microsoft Entra-programregistrering för att köra experimenteringen.

Så här registrerar du en ny app:

  1. Gå till Identitetsprogram>> Appregistreringar.

    Skärmbild av administrationscentret för Microsoft Entra som visar sidan Appregistreringar.

  2. Ange ett namn för din app och under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.

Kommentar

Programmet måste finnas i samma Microsoft Entra-klientorganisation där arbetsytan Dela experimentering etableras eller anses vara etablerad. Det behövs bara en grundläggande registrering i det här läget. Läs mer om det här avsnittet i Registrera ett program.

Aktivera Entra-program som ska användas som målgrupp

Konfigurera program-ID-URI:n så att Entra-programmet kan användas som global målgrupp/omfång när du begär en autentiseringstoken.

  1. Öppna appen i Azure-portalen och under Översikt hämtar du program-ID-URI:n.

    Skärmbild av appen i Azure-portalen.

  2. I administrationscentret för Microsoft Entra öppnar du programmet i Identity>Applications> Appregistreringar genom att välja dess visningsnamn.

  3. I fönstret som öppnas väljer du Exponera ett API och Kontrollera att URI-värdet för program-ID är: api://<Entra application ID> var Entra application ID måste vara samma Microsoft Entra-program-ID.

    Skärmbild av administrationscentret för Microsoft Entra som visar sidan Appregistreringar.

Tillåt användare att begära åtkomst till Split Experimentation från Azure-portalen

Användargränssnittet i Azure-portalen är i praktiken arbetsytan UX för delade experiment. Den interagerar med dataplanet Dela experimentering för att konfigurera mått, skapa/uppdatera/arkivera/ta bort experiment, hämta experimentresultat osv.

Du måste förauktorisera Gränssnittet för delning av Azure-portalen för att uppnå detta.

Lägg till omfång

I administrationscentret för Microsoft Entra går du till din app och öppnar menyn Exponera ett API till vänster och väljer sedan Lägg till ett omfång.

Skärmbild av administrationscentret för Microsoft Entra som visar hur du lägger till ett omfång.

  1. Under Vem kan samtycka?, väljer du Administratörer och användare.
  2. Ange ett visningsnamn för administratörsmedgivande och en beskrivning av administratörsmedgivande.

Auktorisera resursprovider-ID för delade experiment

  1. I menyn Exponera ett API rullar du ned till Auktoriserade klientprogram Lägg till ett klientprogram> och anger det klient-ID som motsvarar resursproviderns ID för delade experiment: d3e90440-4ec9-4e8b-878b-c89e889e9fbc.

    Skärmbild av administrationscentret för Microsoft Entra som visar hur du auktoriserar resursproviderns ID för delade experiment.

  2. Välj Lägg till program.

Lägga till auktoriseringsroller

Arbetsytan Dela experimentering har stöd för välkända roller för att begränsa åtkomstkontroll. Lägg till följande roller i Entra-programmet.

  1. Gå till menyn Approller och välj Skapa approll.

  2. Välj eller ange följande information i fönstret som öppnas för att skapa en första roll:

    • Visningsnamn: ange ExperimentationDataOwner
    • Tillåtna medlemstyper: välj Båda (användare/grupper + program)
    • Värde anger ExperimentationDataOwner
    • Beskrivning: ange läs-skrivåtkomst till experimenteringsarbetsyta
    • Vill du aktivera den här approllen?: Markera den här rutan.

    Skärmbild av administrationscentret för Microsoft Entra som visar hur du skapar en approll.

  3. Skapa en andra roll:

    • Visningsnamn: ange ExperimentationDataReader
    • Tillåtna medlemstyper: välj Båda (användare/grupper + program)
    • Värde anger ExperimentationDataReader
    • Beskrivning: ange skrivskyddad åtkomst till experimenteringsarbetsyta
    • Vill du aktivera den här approllen?: Markera den här rutan.

Konfigurera användar- och rolltilldelningar

Välj ett alternativ för tilldelningskrav

  1. Gå till menyn Översikt och välj länken under till Hanterat program i den lokala katalogen

  2. Öppna Hantera>egenskaper och välj önskat alternativ för inställningen Tilldelning krävs .

    • Ja: innebär att endast de poster som uttryckligen definierats under Användare och grupper i företagsprogrammet kan hämta en token och därför komma åt den associerade arbetsytan Dela experimentering. Det här är det rekommenderade alternativet.
    • Nej: innebär att alla i samma Entra-klientorganisation kan hämta token och därför kan tillåtas att komma åt den associerade arbetsytan Split Experimentation via kontrollplanet För delningsexperiment.

    Skärmbild av administrationscentret för Microsoft Entra som visar hur du kräver en tilldelning.

Tilldela användare och grupper

  1. Gå till menyn Användare och grupper och välj Lägg till användare/grupp

    Skärmbild av administrationscentret för Microsoft Entra som visar hur du tilldelar roller till användare.

  2. Välj en användare eller grupp och välj en av de roller som du skapade för arbetsytan Dela experimentering.

Relaterat innehåll