Einrichten der Datenzugriffskontrolle für den Geteilten Experimentierarbeitsbereich (Vorschau)

Split Experimentation in Azure App Configuration (Vorschau) verwendet Microsoft Entra, um Anforderungen für Split Experimentation Workspace-Ressourcen zu autorisieren. Microsoft Entra ermöglicht auch die Verwendung von benutzerdefinierten Rollen, um Sicherheitshauptpersonen Berechtigungen zu erteilen.

Übersicht über die Datenzugriffssteuerung

Alle Anfragen an den Split Experimentation Workspace müssen genehmigt werden. Um eine Zugriffssteuerungsrichtlinie einzurichten, erstellen Sie eine neue Microsoft Entra-Anwendungsregistrierung, oder verwenden Sie eine vorhandene. Die registrierte Anwendung stellt die Authentifizierungsrichtlinie, Sicherheitsprinzipien, Rollendefinitionen usw. bereit, um den Zugriff auf den Geteilten Experimentierarbeitsbereich zu ermöglichen.

Optional kann eine einzelne Microsoft Entra Enterprise-Anwendung verwendet werden, um den Zugriff auf mehrere Geteilte Experimentierarbeitsbereiche zu steuern.

Zum Einrichten der Zugriffskontrollrichtlinie für den Split-Experimentationsarbeitsbereich ist ein Vorgang auf der Steuerungsebene erforderlich. "Split Experimentation" erfordert nur die Anwendungs-ID, um die Zugriffsrichtlinie einzurichten. Die besagte Entra-Anwendung ist eigentum und wird vollständig vom Kunden kontrolliert. Die Anwendung muss sich im gleichen Microsoft Entra-Mandanten befinden, in dem die Ressource "Geteilter Experimentierarbeitsbereich" bereitgestellt oder als bereitgestellt betrachtet wird.

Mit Microsoft Entra wird der Zugriff auf eine Ressource in einem zweistufigen Prozess eingerichtet:

1. Die Identität des Sicherheitssubjekts wird authentifiziert, und ein OAuth 2.0-Token wird ausgegeben. Der Ressourcenname, der zum Anfordern eines Tokens verwendet wird, ist https://login.microsoftonline.com/<tenantID>, wobei <tenantID> mit der Microsoft Entra-Mandanten-ID übereinstimmt, zu der der Dienstprinzipal gehört. Stellen Sie sicher, dass der Bereich api://{Entra application ID>/.defaultist, wobei <Entra application ID> der Anwendungs-ID entspricht, die als Zugriffsrichtlinie mit der Ressource "Geteilter Experimentierarbeitsbereich" verknüpft ist.
2. Das Token wird als Teil einer Anforderung an den App-Konfigurationsdienst übergeben, um den Zugriff auf die angegebene Ressource zu autorisieren.

Registrieren einer Anwendung

Registrieren Sie eine neue App, oder verwenden Sie eine vorhandene Microsoft Entra-Anwendungsregistrierung, um Ihr Experiment auszuführen.

So registrieren Sie eine neue App:

1. Wechseln Sie im Microsoft Admin Center zu Identität>Anwendungen>App-Registrierungen.

   

2. Geben Sie einen Namen für Ihre App ein, und wählen Sie unter den unterstützten Kontotypen, nur Konten in diesem Organisationsverzeichnis.

Anmerkung

Die Anwendung muss sich im gleichen Microsoft Entra-Mandanten befinden, in dem der Geteilte Experimentierarbeitsbereich bereitgestellt oder als bereitgestellt betrachtet wird. Zu diesem Zeitpunkt ist nur eine Grundregistrierung erforderlich. Weitere Informationen zu diesem Thema finden Sie unter Eine Anwendung registrieren.

Aktivieren der Entra-Anwendung für die Verwendung als Zielgruppe

Konfigurieren Sie den Anwendungs-ID-URI, damit die Entra-Anwendung beim Anfordern eines Authentifizierungstokens als globale Zielgruppe/Bereich verwendet werden kann.

1. Öffnen Sie im Microsoft Entra Admin Center unter Identität>Anwendungen>App-RegistrierungenIhre Anwendung, indem Sie den Anzeigenamenauswählen. Kopieren Sie im geöffneten Bereich unter Übersichtdie Anwendungs-ID-URI. Wenn anstelle des Anwendungs-ID-URI die Option Anwendungs-ID-URI hinzufügenangezeigt wird, wählen Sie diese aus, und klicken Sie dann auf Hinzufügen und Speichern.

   

2. Wählen Sie dann im linken Menü der App Eine API freigeben. Stellen Sie sicher, dass der Anwendungs-ID-URI Wert lautet: api://<Entra application ID>, wobei Entra application ID dieselbe Microsoft Entra-Anwendungs-ID sein muss.

   

Benutzern das Anfordern des Zugriffs auf "Split Experimentation" über das Azure-Portal erlauben

Die Benutzeroberfläche des Azure-Portals ist effektiv die UX für geteilten Experimentierarbeitsbereich. Es interagiert mit der Datenebene "Split Experimentation" zum Einrichten von Metriken, Erstellen/Aktualisieren/Archivieren/Löschen von Experimenten, Abrufen von Experimentergebnissen usw.

Sie müssen die Geteilte Benutzeroberfläche des Azure-Portals vorab authentifizieren, um dies zu erreichen.

Bereich hinzufügen

Wechseln Sie im Microsoft Entra Admin Center zu Ihrer App, und öffnen Sie das API verfügbar machen linke Menü, und wählen Sie dann einen Bereich hinzufügenaus.

1. Unter Wer kann zustimmen?, wählen Sie Administratoren und Benutzeraus.
2. Geben Sie einen Administratorenzustimmungsanzeigenamen und eine Administratorenzustimmungsbeschreibung ein.

Autorisierung der Anbieter-ID für Split-Experimente

1. Bleiben Sie im Menü API bereitstellen, navigieren Sie zu Autorisierte Clientanwendungen>Clientanwendung hinzufügen und geben Sie die Client-ID ein, die der ID des Split Experimentation Resource Providers entspricht: d3e90440-4ec9-4e8b-878b-c89e889e9fbc.

   

2. Wählen Sie Anwendung hinzufügenaus.

Hinzufügen von Autorisierungsrollen

Der Arbeitsbereich "Split Experimentation" unterstützt bekannte Rollen, um den Umfang der Zugriffssteuerung festzulegen. Fügen Sie die folgenden Rollen in der Entra-Anwendung hinzu.

1. Wechseln Sie zum App-Rollen-Menü Ihrer App, und wählen Sie App-Rolle erstellenaus.

2. Wählen oder geben Sie die folgenden Informationen im sich öffnenden Bereich ein, um eine ExperimentationDataOwner Rolle zu erstellen. Diese Rolle bietet der App vollzugriff, um alle Vorgänge in der Ressource "Split Experimentation" auszuführen.

   • Anzeigename: eingeben ExperimentationDataOwner
   • Erlaubte Mitgliedertypen: auswählen Beides (Benutzer/Gruppen + Anwendungen)
   • Wert einfügen ExperimentationDataOwner
   • Beschreibung: Geben Sie Lese-/Schreibzugriff auf Experimentation Workspace
   • Möchten Sie diese App-Rolle aktivieren?: Aktivieren Sie dieses Kontrollkästchen.

   

3. Erstellen Sie eine ExperimentationDataReader-Rolle. Diese Rolle gewährt der App Lesezugriff auf die Ressource "Split Experimentation", lässt aber keine Änderungen zu.

   • Anzeigename: Geben Sie ExperimentationDataReader
   • Zulässige Mitgliedertypen: Wählen Sie Beides (Benutzer/Gruppen + Anwendungen)
   • Wert eingeben ExperimentationDataReader
   • Beschreibung: Eingeben Sie schreibgeschützten Zugriff auf Experimentierraum
   • Möchten Sie diese App-Rolle aktivieren?: Aktivieren Sie dieses Kontrollkästchen.

Konfigurieren von Benutzer- und Rollenzuweisungen

Auswählen einer Zuweisungsanforderungsoption

1. Wechseln Sie zum Menü Übersicht Ihrer App, und wählen Sie den Link unter Verwaltete Anwendung im lokalen Verzeichnisaus. Dadurch wird Ihre App im Microsoft Admin Center Menü>Enterprise Application geöffnet.

2. Öffnen Sie Eigenschaften>verwalten auf der linken Seite, und wählen Sie Ihre bevorzugte Option für die Einstellung Zuordnung erforderlich aus.

   • Ja: bedeutet, dass nur die Einträge, die explizit unter Benutzer und Gruppen in der Unternehmensanwendung definiert sind, ein Token abrufen und daher auf den zugeordneten Geteilten Experimentierarbeitsbereich zugreifen können. Dies ist die empfohlene Option.
   • Nein: bedeutet, dass jeder im selben Entra-Mandanten Token abrufen kann und daher über die Opt-In-Einstellung der Steuerungsebene für Split-Experimente auf den zugeordneten Arbeitsbereich für Split-Experimente zugreifen kann.

   

Zuweisen von Benutzern und Gruppen

1. Wechseln Sie zurück zum Menü Benutzer und Gruppen und wählen Sie Benutzer-/Gruppen hinzufügen.

   

2. Wählen Sie einen Benutzer oder eine Gruppe aus, und wählen Sie eine der Rollen aus, die Sie für den Geteilten Experimentierarbeitsbereich erstellt haben.

Verwandte Inhalte

• Erfahren Sie mehr über die Problembehandlung in der aufgeteilten Experimentier-Umgebung .