Condividi tramite

Accedere alla configurazione di app Azure con Microsoft Entra ID

  • Articolo

app Azure Configurazione supporta l'autorizzazione delle richieste ai negozi Configurazione app usando l'ID Microsoft Entra. Con Microsoft Entra ID è possibile sfruttare il controllo degli accessi in base al ruolo di Azure per concedere le autorizzazioni alle entità di sicurezza, che possono essere entità utente, identità gestite o entità servizio.

Panoramica

L'accesso a un archivio Configurazione app tramite l'ID Entra Di Microsoft prevede due passaggi:

  1. Autenticazione: acquisire un token dell'entità di sicurezza da Microsoft Entra ID per Configurazione app. Per altre informazioni, vedere Autenticazione di Microsoft Entra in Configurazione app.

  2. Autorizzazione: passare il token come parte di una richiesta a un archivio Configurazione app. Per autorizzare l'accesso all'archivio Configurazione app specificato, l'entità di sicurezza deve essere assegnata in anticipo ai ruoli appropriati. Per altre informazioni, vedere Autorizzazione di Microsoft Entra in Configurazione app.

Ruoli predefiniti di Azure per la configurazione di app Azure

Azure fornisce i ruoli predefiniti seguenti per autorizzare l'accesso a Configurazione app usando l'ID Microsoft Entra:

Accesso al piano dati

Le richieste di operazioni del piano dati vengono inviate all'endpoint dell'archivio Configurazione app. Queste richieste riguardano Configurazione app dati.

  • Configurazione app Proprietario dati: usare questo ruolo per concedere l'accesso in lettura, scrittura ed eliminazione ai dati Configurazione app. Questo ruolo non concede l'accesso alla risorsa Configurazione app.
  • Configurazione app lettore dati: usare questo ruolo per concedere l'accesso in lettura ai dati Configurazione app. Questo ruolo non concede l'accesso alla risorsa Configurazione app.

Accesso al piano di controllo

Tutte le richieste per le operazioni del piano di controllo vengono inviate all'URL di Azure Resource Manager. Queste richieste riguardano la risorsa Configurazione app.

  • Configurazione app Collaboratore: usare questo ruolo per gestire solo Configurazione app risorsa. Questo ruolo non concede l'accesso per gestire altre risorse di Azure. Concede l'accesso alle chiavi di accesso della risorsa. Anche se è possibile accedere ai dati Configurazione app usando le chiavi di accesso, questo ruolo non concede l'accesso diretto ai dati usando Microsoft Entra ID. Concede l'accesso per recuperare Configurazione app risorsa eliminata, ma non per eliminarla. Per eliminare le risorse Configurazione app eliminate, usare il ruolo Collaboratore.
  • lettore Configurazione app: usare questo ruolo per leggere solo Configurazione app risorsa. Questo ruolo non concede l'accesso alla lettura di altre risorse di Azure. Non concede l'accesso alle chiavi di accesso della risorsa né ai dati archiviati in Configurazione app.
  • Collaboratore o Proprietario: usare questo ruolo per gestire la risorsa Configurazione app e gestire anche altre risorse di Azure. Questo ruolo è un ruolo di amministratore con privilegi. Concede l'accesso alle chiavi di accesso della risorsa. Anche se è possibile accedere ai dati Configurazione app usando le chiavi di accesso, questo ruolo non concede l'accesso diretto ai dati usando Microsoft Entra ID.
  • Lettore: usare questo ruolo per leggere Configurazione app risorsa, ma anche per leggere altre risorse di Azure. Questo ruolo non concede l'accesso alle chiavi di accesso della risorsa né ai dati archiviati in Configurazione app.

Nota

Dopo aver creato un'assegnazione di ruolo per un'identità, attendere fino a 15 minuti affinché l'autorizzazione venga propagata prima di accedere ai dati archiviati in Configurazione app usando questa identità.

Autenticazione con credenziali del token

Per consentire all'applicazione di eseguire l'autenticazione con l'ID Microsoft Entra, la libreria di identità di Azure supporta varie credenziali del token per l'autenticazione di Microsoft Entra ID. Ad esempio, è possibile scegliere Credenziali di Visual Studio quando si sviluppa l'applicazione in Visual Studio, credenziali di identità del carico di lavoro quando l'applicazione viene eseguita in Kubernetes o credenziali di identità gestite quando l'applicazione viene distribuita in servizi di Azure come Funzioni di Azure.

Usare DefaultAzureCredential

DefaultAzureCredential è una catena preconfigurata di credenziali del token che tenta automaticamente una sequenza ordinata dei metodi di autenticazione più comuni. L'uso DefaultAzureCredential di consente di mantenere lo stesso codice sia negli ambienti di sviluppo locale che in ambienti di Azure. Tuttavia, è importante sapere quali credenziali vengono usate in ogni ambiente, perché è necessario concedere i ruoli appropriati per il funzionamento dell'autorizzazione. Ad esempio, autorizzare il proprio account quando si prevede di eseguire il DefaultAzureCredential fallback all'identità utente durante lo sviluppo locale. Analogamente, abilitare l'identità gestita in Funzioni di Azure e assegnargli il ruolo necessario quando si prevede di eseguire il DefaultAzureCredential fallback a ManagedIdentityCredential quando l'app per le funzioni viene eseguita in Azure.

Assegnare ruoli dati Configurazione app

Indipendentemente dalle credenziali usate, è necessario assegnargli i ruoli appropriati prima di poter accedere all'archivio Configurazione app. Se l'applicazione deve leggere solo i dati dall'archivio Configurazione app, assegnarlo al ruolo lettore dati Configurazione app. Se l'applicazione deve anche scrivere dati nell'archivio Configurazione app, assegnargli il ruolo proprietario dei dati Configurazione app.

Seguire questa procedura per assegnare Configurazione app ruoli dati alle credenziali.

  1. Nella portale di Azure passare all'archivio Configurazione app e selezionare Controllo di accesso (IAM).

  2. Selezionare Aggiungi ->Aggiungi assegnazione di ruolo.

    Se non si dispone dell'autorizzazione per assegnare i ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata. Solo gli utenti con ruoli Proprietario o Amministratore accesso utenti possono effettuare assegnazioni di ruolo.

  3. Nella scheda Ruolo selezionare il ruolo lettore dati Configurazione app (o un altro ruolo Configurazione app appropriato) e quindi selezionare Avanti.

  4. Nella scheda Membri seguire la procedura guidata per selezionare le credenziali a cui si concede l'accesso e quindi selezionare Avanti.

  5. Infine, nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo.

Passaggi successivi

Informazioni su come usare le identità gestite per accedere all'archivio Configurazione app.