Freigeben über

Zugreifen auf Azure App Configuration mit Microsoft Entra ID

  • Artikel

Azure App Configuration unterstützt die Autorisierung von Anforderungen an App Configuration-Speicher mithilfe von Microsoft Entra ID. Mit Microsoft Entra ID können Sie Azure RBAC (rollenbasierte Zugriffssteuerung) nutzen, um Sicherheitsprinzipalen Berechtigungen zuzuweisen. Dabei kann es sich um Benutzerprinzipale, verwaltete Identitäten oder Dienstprinzipale handeln.

Übersicht

Der Zugriff auf einen App Configuration-Speicher mithilfe von Microsoft Entra ID umfasst zwei Schritte:

  1. Authentifizierung: Rufen Sie ein Token des Sicherheitsprinzipals von Microsoft Entra ID für App Configuration ab. Weitere Informationen finden Sie unter Microsoft Entra-Authentifizierung in App Configuration.

  2. Autorisierung: Übergeben Sie das Token als Teil einer Anforderung an einen App Configuration-Speicher. Um den Zugriff auf den angegebenen App Configuration-Speicher zu autorisieren, müssen dem Sicherheitsprinzipal im Voraus die entsprechenden Rollen zugewiesen werden. Weitere Informationen finden Sie unter Microsoft Entra-Autorisierung in App Configuration.

Integrierte Azure-Rollen für Azure App Configuration

Azure stellt die folgenden integrierten Azure-Rollen zum Autorisieren des Zugriffs auf App Configuration mithilfe von Microsoft Entra ID bereit:

Datenebenenzugriff

Anforderungen für Vorgänge auf Datenebene werden an den Endpunkt Ihres App Configuration-Speichers gesendet. Diese Anforderungen beziehen sich auf App Configuration-Daten.

  • App Configuration-Datenbesitzer: Verwenden Sie diese Rolle, um Lese-, Schreib- und Löschzugriff auf App Configuration-Daten zu gewähren. Diese Rolle gewährt keinen Zugriff auf die App-Konfigurationsressource.
  • App Configuration-Datenleser: Verwenden Sie diese Rolle, um Lesezugriff auf App Configuration-Daten zu gewähren. Diese Rolle gewährt keinen Zugriff auf die App-Konfigurationsressource.

Zugriff auf Steuerungsebene

Alle Anforderungen für Vorgänge auf Steuerungsebene werden an die Azure Resource Manager-URL gesendet. Diese Anforderungen beziehen sich auf die App Configuration-Ressource.

  • App Configuration-Mitwirkender: Verwenden Sie diese Rolle, um nur die App Configuration-Ressource zu verwalten. Diese Rolle gewährt keinen Zugriff für die Verwaltung anderer Azure-Ressourcen. Sie gewährt Zugriff auf die Zugriffsschlüssel der Ressource. Obwohl auf die App Configuration-Daten mithilfe von Zugriffsschlüsseln zugegriffen werden kann, wird mit dieser Rolle kein direkter Zugriff auf die Daten unter Verwendung von Microsoft Entra ID gewährt. Sie gewährt den erforderlichen Zugriff für das Wiederherstellen einer gelöschten App Configuration-Ressource, aber nicht zum endgültigen Löschen. Verwenden Sie die Rolle Mitwirkender, um gelöschte App Configuration-Ressourcen endgültig zu löschen.
  • App Configuration-Leser: Verwenden Sie diese Rolle, um nur die App Configuration-Ressource zu lesen. Diese Rolle gewährt keinen Zugriff für das Lesen anderer Azure-Ressourcen. Diese Rolle gewährt weder Zugriff auf die Zugriffsschlüssel der Ressource noch auf die in App Configuration gespeicherten Daten.
  • Mitwirkender oder Besitzer: Verwenden Sie diese Rollen, um die App Configuration-Ressource und gleichzeitig noch andere Azure-Ressourcen zu verwalten. Diese Rollen sind privilegierte Administratorrollen. Sie gewährt Zugriff auf die Zugriffsschlüssel der Ressource. Obwohl auf die App Configuration-Daten mithilfe von Zugriffsschlüsseln zugegriffen werden kann, wird mit dieser Rolle kein direkter Zugriff auf die Daten unter Verwendung von Microsoft Entra ID gewährt.
  • Leser: Verwenden Sie diese Rolle, um die App Configuration-Ressource und gleichzeitig noch andere Azure-Ressourcen zu lesen. Diese Rolle gewährt weder Zugriff auf die Zugriffsschlüssel der Ressource noch auf die in der App Configuration gespeicherten Daten.

Hinweis

Nachdem eine Rollenzuweisung für eine Identität vorgenommen wurde, können Sie bis zu 15 Minuten für die Weitergabe der Berechtigung zulassen, bevor Sie auf Daten zugreifen, die in App Configuration mit dieser Identität gespeichert sind.

Authentifizieren mit Tokenanmeldeinformationen

Damit Ihre Anwendung sich mit Microsoft Entra ID authentifizieren kann, unterstützt die Azure Identity-Bibliothek verschiedene Tokenanmeldeinformationen für die Microsoft Entra ID-Authentifizierung. Sie können beispielsweise Visual Studio-Anmeldeinformationen auswählen, wenn Sie Ihre Anwendung in Visual Studio entwickeln, oder Anmeldeinformationen für eine Workloadidentität, wenn Ihre Anwendung in Kubernetes ausgeführt wird, oder Anmeldeinformationen für eine verwaltete Identität, wenn Ihre Anwendung in Azure-Diensten wie Azure Functions bereitgestellt wird.

Verwendung von DefaultAzureCredential

DefaultAzureCredential ist eine vorkonfigurierte Kette von Tokenanmeldeinformationen, die automatisch eine sortierte Sequenz der am häufigsten verwendeten Authentifizierungsmethoden durchprobiert. Mithilfe von DefaultAzureCredential können Sie denselben Code sowohl bei der lokalen Entwicklung als auch in Azure-Umgebungen verwenden. Es ist jedoch wichtig zu wissen, welche Anmeldeinformationen in der jeweiligen Umgebung verwendet werden, da Sie die entsprechenden Rollen für die Autorisierung zuweisen müssen. Autorisieren Sie beispielsweise Ihr eigenes Konto, wenn Sie davon ausgehen, dass DefaultAzureCredential während der lokalen Entwicklung auf Ihre Benutzeridentität zurückfällt. Aktivieren Sie auf ähnliche Weise eine verwaltete Identität in Azure Functions, und weisen Sie ihr die erforderliche Rolle zu, wenn Sie erwarten, dass DefaultAzureCredential auf ManagedIdentityCredential zurückfällt, wenn Sie Ihre Funktions-App in Azure ausführen.

Zuweisen von App Configuration-Datenrollen

Unabhängig davon, welche Anmeldeinformationen Sie verwenden, müssen Sie ihnen die entsprechenden Rollen zuweisen, damit Sie damit auf Ihren App Configuration-Speicher zugreifen können. Wenn Ihre Anwendung nur Daten aus Ihrem App Configuration-Speicher lesen muss, weisen Sie ihr die Rolle App Configuration-Datenleser zu. Wenn Ihre Anwendung auch Daten in Ihren App Configuration-Speicher schreiben muss, weisen Sie ihr die Rolle App Configuration-Datenbesitzer zu.

Führen Sie die folgenden Schritte aus, um Ihren Anmeldeinformationen App Configuration-Datenrollen zuzuweisen.

  1. Navigieren Sie im Azure-Portal zu Ihrem App Configuration-Speicher, und wählen Sie Zugriffssteuerung (IAM) aus.

  2. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus.

    Wenn Sie keine Berechtigung zum Zuweisen von Rollen haben, ist die Option Rollenzuweisung hinzufügen deaktiviert. Nur Benutzende mit den Rollen Besitzer oder Benutzerzugriffsadministrator können Rollenzuweisungen vornehmen.

  3. Wählen Sie auf der Registerkarte Rolle die Rolle App Configuration-Datenleser (oder eine andere geeignete App Configuration-Rolle) und dann Weiter aus.

  4. Folgen Sie auf der Registerkarte Mitglieder dem Assistenten, um die Anmeldeinformationen auszuwählen, denen Sie Zugriff gewähren möchten, und wählen Sie dann Weiter aus.

  5. Wählen Sie zuletzt auf der Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen aus, um die Rolle zuzuweisen.

Nächste Schritte

Weitere Informationen finden Sie unter Verwenden verwalteter Identitäten für den Zugriff auf Ihren App Configuration-Speicher.