Delen via

Toegang tot Azure-app-configuratie met behulp van Microsoft Entra-id

  • Artikel

Azure-app Configuration ondersteunt autorisatie van aanvragen naar App Configuration-archieven met behulp van Microsoft Entra-id. Met Microsoft Entra ID kunt u gebruikmaken van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om machtigingen te verlenen aan beveiligingsprinciplen, die gebruikers-principals, beheerde identiteiten of service-principals kunnen zijn.

Overzicht

Het openen van een App Configuration-archief met behulp van Microsoft Entra-id omvat twee stappen:

  1. Verificatie: haal een token op van de beveiligingsprincipaal van Microsoft Entra ID voor App Configuration. Zie Microsoft Entra-verificatie in App Configuration voor meer informatie.

  2. Autorisatie: geef het token door als onderdeel van een aanvraag aan een App Configuration-archief. Als u toegang tot het opgegeven App Configuration-archief wilt autoriseren, moet de beveiligingsprincipaal vooraf de juiste rollen krijgen toegewezen. Zie Microsoft Entra-autorisatie in App Configuration voor meer informatie.

Ingebouwde Azure-rollen voor Azure-app-configuratie

Azure biedt de volgende ingebouwde rollen voor het autoriseren van toegang tot App Configuration met behulp van Microsoft Entra-id:

Toegang tot gegevensvlak

Aanvragen voor gegevensvlakbewerkingen worden verzonden naar het eindpunt van uw App Configuration-archief. Deze aanvragen hebben betrekking op App Configuration-gegevens.

  • Eigenaar van app-configuratiegegevens: gebruik deze rol om lees-, schrijf- en verwijdertoegang te verlenen tot App Configuration-gegevens. Deze rol verleent geen toegang tot de App Configuration-resource.
  • App Configuration-gegevenslezer: gebruik deze rol om leestoegang te verlenen tot App Configuration-gegevens. Deze rol verleent geen toegang tot de App Configuration-resource.

Toegang tot besturingsvlak

Alle aanvragen voor besturingsvlakbewerkingen worden verzonden naar de URL van Azure Resource Manager. Deze aanvragen hebben betrekking op de App Configuration-resource.

  • Inzender voor app-configuratie: gebruik deze rol om alleen app-configuratieresources te beheren. Deze rol verleent geen toegang tot het beheren van andere Azure-resources. Het verleent toegang tot de toegangssleutels van de resource. Hoewel de App Configuration-gegevens kunnen worden geopend met behulp van toegangssleutels, verleent deze rol geen directe toegang tot de gegevens met behulp van Microsoft Entra-id. Het verleent toegang om verwijderde App Configuration-resource te herstellen, maar niet om ze te verwijderen. Als u verwijderde App Configuration-resources wilt opschonen, gebruikt u de rol Inzender .
  • App Configuration Reader: gebruik deze rol om alleen App Configuration-resource te lezen. Deze rol verleent geen toegang tot het lezen van andere Azure-resources. De resource verleent geen toegang tot de toegangssleutels van de resource, noch tot de gegevens die zijn opgeslagen in App Configuration.
  • Inzender of eigenaar: gebruik deze rol om de App Configuration-resource te beheren, terwijl u ook andere Azure-resources kunt beheren. Deze rol is een bevoorrechte beheerdersrol. Het verleent toegang tot de toegangssleutels van de resource. Hoewel de App Configuration-gegevens kunnen worden geopend met behulp van toegangssleutels, verleent deze rol geen directe toegang tot de gegevens met behulp van Microsoft Entra-id.
  • Lezer: Gebruik deze rol om de App Configuration-resource te lezen, terwijl u ook andere Azure-resources kunt lezen. Deze rol verleent geen toegang tot de toegangssleutels van de resource, noch tot de gegevens die zijn opgeslagen in App Configuration.

Notitie

Nadat een roltoewijzing is gemaakt voor een identiteit, kan het maximaal 15 minuten duren voordat de machtiging wordt doorgegeven voordat toegang wordt verleend tot gegevens die zijn opgeslagen in App Configuration met behulp van deze identiteit.

Verificatie met tokenreferenties

Als u wilt dat uw toepassing kan worden geverifieerd met Microsoft Entra ID, ondersteunt de Azure Identity-bibliotheek verschillende tokenreferenties voor Microsoft Entra ID-verificatie. U kunt bijvoorbeeld Visual Studio Credential kiezen bij het ontwikkelen van uw toepassing in Visual Studio, Workload Identity Credential wanneer uw toepassing wordt uitgevoerd op Kubernetes of Managed Identity Credential wanneer uw toepassing wordt geïmplementeerd in Azure-services zoals Azure Functions.

DefaultAzureCredential gebruiken

Dit DefaultAzureCredential is een vooraf geconfigureerde keten van tokenreferenties waarmee automatisch een geordende reeks van de meest voorkomende verificatiemethoden wordt geprobeerd. Met behulp van de DefaultAzureCredential mogelijkheid kunt u dezelfde code behouden in zowel lokale ontwikkeling als Azure-omgevingen. Het is echter belangrijk om te weten welke referenties in elke omgeving worden gebruikt, omdat u de juiste rollen moet verlenen om te kunnen werken. Autoriseren bijvoorbeeld uw eigen account wanneer u verwacht dat DefaultAzureCredential u tijdens de lokale ontwikkeling terugvalt op uw gebruikersidentiteit. Schakel op dezelfde manier beheerde identiteit in Azure Functions in en wijs deze de benodigde rol toe wanneer u verwacht dat deze DefaultAzureCredential terugvalt op het ManagedIdentityCredential moment dat uw functie-app wordt uitgevoerd in Azure.

App Configuration-gegevensrollen toewijzen

Ongeacht welke referentie u gebruikt, moet u deze de juiste rollen toewijzen voordat deze toegang heeft tot uw App Configuration-archief. Als uw toepassing alleen gegevens uit uw App Configuration-archief hoeft te lezen, wijst u deze de rol App Configuration Data Reader toe. Als uw toepassing ook gegevens naar uw App Configuration-archief moet schrijven, wijst u deze de rol App Configuration-gegevenseigenaar toe.

Volg deze stappen om App Configuration Data-rollen toe te wijzen aan uw referenties.

  1. Navigeer in Azure Portal naar uw App Configuration-archief en selecteer Toegangsbeheer (IAM).

  2. Selecteer Roltoewijzing toevoegen>.

    Als u niet gemachtigd bent om rollen toe te wijzen, wordt de optie Roltoewijzing toevoegen uitgeschakeld. Alleen gebruikers met de rollen Eigenaar of Beheerder voor gebruikerstoegang kunnen roltoewijzingen maken.

  3. Selecteer op het tabblad Rol de rol App Configuration Data Reader (of een andere App Configuration-rol indien van toepassing) en selecteer vervolgens Volgende.

  4. Volg op het tabblad Leden de wizard om de referentie te selecteren waarvoor u toegang verleent en selecteer vervolgens Volgende.

  5. Selecteer ten slotte op het tabblad Beoordelen en toewijzen de optie Beoordelen + toewijzen om de rol toe te wijzen .

Volgende stappen

Meer informatie over het gebruik van beheerde identiteiten voor toegang tot uw App Configuration-archief.