Access Aplikace Azure Configuration using Microsoft Entra ID

Aplikace Azure Konfigurace podporuje autorizaci požadavků do úložišť App Configuration pomocí Microsoft Entra ID. S ID Microsoft Entra můžete využít řízení přístupu na základě role v Azure (Azure RBAC) k udělení oprávnění k objektům zabezpečení, což můžou být objekty zabezpečení, spravované identity nebo instanční objekty.

Přehled

Přístup ke službě App Configuration Store pomocí ID Microsoft Entra zahrnuje dva kroky:

1. Ověřování: Získejte token objektu zabezpečení z ID Microsoft Entra pro konfiguraci aplikace. Další informace naleznete v tématu Ověřování Microsoft Entra v App Configuration.

2. Autorizace: Token předejte jako součást požadavku do Úložiště konfigurace aplikací. Aby bylo možné autorizovat přístup k zadanému úložišti app Configuration, musí být instančnímu objektu zabezpečení přiřazeny příslušné role předem. Další informace najdete v tématu Autorizace Microsoft Entra v App Configuration.

Předdefinované role Azure pro konfiguraci Aplikace Azure

Azure poskytuje následující předdefinované role pro autorizaci přístupu ke konfiguraci aplikace pomocí ID Microsoft Entra:

Přístup k rovině dat

Požadavky na operace roviny dat se odesílají do koncového bodu úložiště konfigurace aplikací. Tyto požadavky se týkají dat služby App Configuration.

• Vlastník dat konfigurace aplikace: Pomocí této role můžete udělit přístup ke čtení, zápisu a odstranění dat konfigurace aplikace. Tato role neuděluje přístup k prostředku App Configuration.
• Čtenář dat konfigurace aplikace: Pomocí této role můžete udělit přístup pro čtení ke konfiguračním datům aplikace. Tato role neuděluje přístup k prostředku App Configuration.

Řízení přístupu k rovině

Všechny požadavky na operace řídicí roviny se odesílají na adresu URL Azure Resource Manageru. Tyto požadavky se týkají prostředku konfigurace aplikace.

• Přispěvatel konfigurace aplikace: Tuto roli použijte ke správě pouze prostředku služby App Configuration. Tato role neuděluje přístup ke správě jiných prostředků Azure. Uděluje přístup k přístupovým klíčům prostředku. I když se k datům App Configuration dostanete pomocí přístupových klíčů, tato role neuděluje přímý přístup k datům pomocí Microsoft Entra ID. Uděluje přístup k obnovení odstraněného prostředku app Configuration, ale ne k jejich vymazání. Pokud chcete vyprázdnit odstraněné prostředky služby App Configuration, použijte roli Přispěvatel .
• Čtenář konfigurace aplikace: Tuto roli použijte ke čtení pouze prostředku App Configuration. Tato role neuděluje přístup ke čtení dalších prostředků Azure. Neuděluje přístup k přístupovým klíčům prostředku ani k datům uloženým v App Configuration.
• Přispěvatel nebo vlastník: Pomocí této role můžete spravovat prostředek App Configuration a zároveň spravovat další prostředky Azure. Tato role je privilegovaná role správce. Uděluje přístup k přístupovým klíčům prostředku. I když se k datům App Configuration dostanete pomocí přístupových klíčů, tato role neuděluje přímý přístup k datům pomocí Microsoft Entra ID.
• Čtenář: Pomocí této role můžete číst prostředek konfigurace aplikace a zároveň číst další prostředky Azure. Tato role neuděluje přístup k přístupovým klíčům prostředku ani k datům uloženým v App Configuration.

Poznámka:

Po přiřazení role pro identitu počkejte až 15 minut, než se oprávnění rozšíří před přístupem k datům uloženým ve službě App Configuration pomocí této identity.

Ověřování pomocí přihlašovacích údajů tokenu

Aby se vaše aplikace mohla ověřit pomocí Microsoft Entra ID, knihovna Identit Azure podporuje různé přihlašovací údaje tokenu pro ověřování Microsoft Entra ID. Při vývoji aplikace v sadě Visual Studio můžete například zvolit přihlašovací údaje k sadě Visual Studio, přihlašovací údaje identit úloh při spuštění aplikace v Kubernetes nebo přihlašovacích údajích spravované identity, když je vaše aplikace nasazená ve službách Azure, jako je Azure Functions.

Použití DefaultAzureCredential

Jedná se DefaultAzureCredential o předem nakonfigurovaný řetězec přihlašovacích údajů tokenu, který se automaticky pokusí o seřazenou posloupnost nejběžnějších metod ověřování. Pomocí této možnosti DefaultAzureCredential můžete zachovat stejný kód v místním vývojovém prostředí i v prostředíCh Azure. Je ale důležité vědět, které přihlašovací údaje se používají v každém prostředí, protože potřebujete udělit příslušné role pro autorizaci, aby fungovaly. Například autorizaci vlastního účtu, když očekáváte DefaultAzureCredential , že se během místního vývoje vrátíte k identitě uživatele. Podobně povolte spravovanou identitu ve službě Azure Functions a přiřaďte jí potřebnou roli, pokud očekáváte DefaultAzureCredential , že se vrátíte k ManagedIdentityCredential tomu, kdy se vaše aplikace funkcí spustí v Azure.

Přiřazení rolí dat konfigurace aplikace

Bez ohledu na to, které přihlašovací údaje používáte, je nutné je přiřadit příslušné role, aby mohl přistupovat ke službě App Configuration Store. Pokud vaše aplikace potřebuje jen číst data z úložiště App Configuration Store, přiřaďte ji roli Čtenář dat konfigurace aplikace. Pokud vaše aplikace potřebuje také zapisovat data do úložiště App Configuration Store, přiřaďte ji roli Vlastník dat konfigurace aplikace.

Podle těchto kroků přiřaďte k přihlašovacím údajům role dat služby App Configuration.

1. Na webu Azure Portal přejděte do obchodu App Configuration Store a vyberte Řízení přístupu (IAM).

2. Vyberte Přidat přiřazení> role.

   Pokud nemáte oprávnění k přiřazování rolí, možnost Přidat přiřazení role bude zakázaná. Přiřazení rolí můžou provádět jenom uživatelé s rolí Vlastník nebo Správce uživatelských přístupů.

3. Na kartě Role vyberte roli Čtenář dat konfigurace aplikace (nebo jinou roli Konfigurace aplikace podle potřeby) a pak vyberte Další.

4. Na kartě Členové vyberte podle průvodce přihlašovací údaje, kterým udělujete přístup, a pak vyberte Další.

5. Nakonec na kartě Revize a přiřazení vyberte Zkontrolovat a přiřadit roli.

Další kroky

Naučte se používat spravované identity pro přístup ke službě App Configuration Store.