Compartir a través de

Acceso a Azure App Configuration con Microsoft Entra ID

  • Artículo

Azure App Configuration admite la autorización de solicitudes a almacenes de App Configuration mediante Microsoft Entra ID. Con Microsoft Entra ID, puede utilizar el control de acceso basado en roles de Azure (Azure RBAC) para otorgar permisos a una entidad de seguridad, que puede ser de usuario, identidades administradas o una entidad de servicio.

Información general

El acceso a un almacén de App Configuration mediante Microsoft Entra ID implica dos pasos:

  1. Autenticación: adquiera un token de la entidad de seguridad de Microsoft Entra ID para App Configuration. Para más información, consulte Autenticación de Microsoft Entra en App Configuration.

  2. Autorización: pase el token como parte de una solicitud a un almacén de App Configuration. Para autorizar el acceso al almacén de App Configuration especificado, a la entidad de seguridad se le deben asignar los roles adecuados de antemano. Para más información, consulte Autorización de Microsoft Entra en App Configuration.

Roles integrados de Azure para Azure App Configuration

Azure proporciona los siguientes roles integrados de Azure para autorizar el acceso a App Configuration con Microsoft Entra ID:

Acceso al plano de datos

Las solicitudes de operaciones del plano de datos se envían al punto de conexión del almacén de App Configuration. Estas solicitudes pertenecen a los datos de App Configuration.

  • Propietario de datos de App Configuration: use este rol para proporcionar acceso de lectura, escritura o eliminación a los datos de App Configuration. Este rol no concede acceso al recurso de App Configuration.
  • Lector de los datos de App Configuration: use este rol para proporcionar acceso de lectura a los datos de App Configuration. Este rol no concede acceso al recurso de App Configuration.

Acceso al plano de control

Todas las solicitudes de las operaciones de plano de control se envían a la dirección URL de Azure Resource Manager. Estas solicitudes pertenecen al recurso de App Configuration.

  • Colaborador de App Configuration: use este rol para administrar solo el recurso de App Configuration. Este rol no concede acceso para administrar otros recursos de Azure. Concede acceso a las claves de acceso del recurso. Aunque se puede acceder a los datos de App Configuration mediante claves de acceso, este rol no concede acceso directo a los datos mediante Microsoft Entra ID. Concede acceso para recuperar el recurso de App Configuration eliminado, pero no para purgarlo. Para purgar los recursos eliminados de App Configuration, use el rol Colaborador.
  • Lector de App Configuration: use este rol para leer solo el recurso de App Configuration. Este rol no concede acceso para leer otros recursos de Azure. No concede acceso a las claves de acceso del recurso ni a los datos almacenados en App Configuration.
  • Colaborador o Propietario: use este rol para administrar el recurso de App Configuration, al mismo tiempo que puede administrar otros recursos de Azure. Este es un rol de administrador con privilegios Concede acceso a las claves de acceso del recurso. Aunque se puede acceder a los datos de App Configuration mediante claves de acceso, este rol no concede acceso directo a los datos mediante Microsoft Entra ID.
  • Lector: use este rol para leer en el recurso de App Configuration al mismo tiempo que puede leer en otros recursos de Azure. Este rol no concede acceso a las claves de acceso del recurso ni a los datos almacenados en App Configuration.

Nota:

Después de realizar una asignación de roles para una identidad, espere hasta 15 minutos para que el permiso se propague antes de acceder a los datos almacenados en App Configuration mediante esta identidad.

Autenticación con credenciales de token

Para permitir que la aplicación se autentique con Microsoft Entra ID, la biblioteca de identidades de Azure admite varias credenciales de token para la autenticación de Microsoft Entra ID. Por ejemplo, puede elegir Credenciales de Visual Studio al desarrollar la aplicación en Visual Studio, Credencial de identidad de carga de trabajo cuando la aplicación se ejecuta en Kubernetes o Credencial de identidad administrada cuando la aplicación se implementa en servicios de Azure como Azure Functions.

Uso de DefaultAzureCredential

El DefaultAzureCredential es una cadena preconfigurada de credenciales de token que intenta automáticamente una secuencia ordenada de los métodos de autenticación más comunes. El uso de DefaultAzureCredential permite mantener el mismo código en el entorno de desarrollo local y en el de Azure. Sin embargo, es importante saber qué credenciales se usan en cada entorno, ya que necesita conceder los roles adecuados para que funcione la autorización. Por ejemplo, autorice su propia cuenta cuando espere que DefaultAzureCredential revierta a la identidad de usuario durante el desarrollo local. Del mismo modo, habilite la identidad administrada en Azure Functions y asígnele el rol necesario cuando espere que DefaultAzureCredential revierta a ManagedIdentityCredential cuando la aplicación de funciones se ejecute en Azure.

Asignación de roles de datos de App Configuration

Independientemente de las credenciales que use, debe asignarle los roles adecuados para poder acceder al almacén de App Configuration. Si la aplicación solo necesita leer datos del almacén de App Configuration, asígnele el rol Lector de datos de App Configuration. Si la aplicación también necesita escribir datos en el almacén de App Configuration, asígnele el rol Propietario de datos de App Configuration.

Siga estos pasos para asignar roles de datos de App Configuration a la credencial.

  1. En Azure Portal, vaya al almacén de App Configuration y seleccione Control de acceso (IAM).

  2. Seleccione Agregar ->Agregar asignación de roles.

    Si no tiene permiso para asignar roles, la opción Agregar asignación de roles se deshabilitará. Solo los usuarios con los roles Propietario o Administrador de acceso de usuarios pueden realizar asignaciones de roles.

  3. En la pestaña Rol, seleccione el rol Lector de datos de App Configuration (u otro rol de App Configuration según sea necesario) y, a continuación, seleccione Siguiente.

  4. En la pestaña Miembros, siga el asistente para seleccionar la credencial a la que va a conceder acceso y, a continuación, seleccione Siguiente.

  5. Por último, en la pestaña Revisión y asignación, seleccione Revisión y asignación para asignar el rol.

Pasos siguientes

Aprenda a usar identidades administradas para acceder al almacén de App Configuration.