Uzyskiwanie dostępu do konfiguracji aplikacja systemu Azure przy użyciu identyfikatora Entra firmy Microsoft
aplikacja systemu Azure Configuration obsługuje autoryzację żądań do magazynów usługi App Configuration przy użyciu identyfikatora Entra firmy Microsoft. Za pomocą identyfikatora Entra firmy Microsoft możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby udzielić uprawnień podmiotom zabezpieczeń, które mogą być jednostkami użytkownika, tożsamościami zarządzanymi lub jednostkami usługi.
Omówienie
Uzyskiwanie dostępu do magazynu usługi App Configuration przy użyciu identyfikatora Entra firmy Microsoft obejmuje dwa kroki:
Uwierzytelnianie: uzyskaj token podmiotu zabezpieczeń z identyfikatora Entra ID firmy Microsoft dla usługi App Configuration. Aby uzyskać więcej informacji, zobacz Microsoft Entra authentication in App Configuration (Uwierzytelnianie firmy Microsoft w usłudze App Configuration).
Autoryzacja: przekaż token w ramach żądania do magazynu usługi App Configuration. Aby autoryzować dostęp do określonego magazynu usługi App Configuration, podmiot zabezpieczeń musi mieć przypisane odpowiednie role z wyprzedzeniem. Aby uzyskać więcej informacji, zobacz Microsoft Entra authorization in App Configuration (Autoryzacja firmy Microsoft w usłudze App Configuration).
Wbudowane role platformy Azure dla konfiguracji aplikacja systemu Azure
Platforma Azure udostępnia następujące wbudowane role umożliwiające autoryzowanie dostępu do usługi App Configuration przy użyciu identyfikatora Entra firmy Microsoft:
Dostęp do płaszczyzny danych
Żądania dotyczące operacji płaszczyzny danych są wysyłane do punktu końcowego magazynu usługi App Configuration. Te żądania dotyczą danych usługi App Configuration.
- Właściciel danych konfiguracji aplikacji: ta rola umożliwia dostęp do odczytu, zapisu i usuwania danych usługi App Configuration. Ta rola nie udziela dostępu do zasobu usługi App Configuration.
- Czytelnik danych konfiguracji aplikacji: ta rola umożliwia dostęp do odczytu do danych usługi App Configuration. Ta rola nie udziela dostępu do zasobu usługi App Configuration.
Dostęp do płaszczyzny sterowania
Wszystkie żądania dotyczące operacji płaszczyzny sterowania są wysyłane do adresu URL usługi Azure Resource Manager. Te żądania dotyczą zasobu usługi App Configuration.
- Współautor konfiguracji aplikacji: ta rola służy do zarządzania tylko zasobem usługi App Configuration. Ta rola nie udziela dostępu do zarządzania innymi zasobami platformy Azure. Udziela ona dostępu do kluczy dostępu zasobu. Chociaż dostęp do danych usługi App Configuration można uzyskać przy użyciu kluczy dostępu, ta rola nie udziela bezpośredniego dostępu do danych przy użyciu identyfikatora Entra firmy Microsoft. Zapewnia on dostęp do odzyskiwania usuniętego zasobu usługi App Configuration, ale nie do ich przeczyszczenia. Aby przeczyścić usunięte zasoby usługi App Configuration, użyj roli Współautor .
- Czytelnik konfiguracji aplikacji: ta rola służy do odczytu tylko do odczytu zasobu usługi App Configuration. Ta rola nie udziela dostępu do odczytu innych zasobów platformy Azure. Nie udziela dostępu do kluczy dostępu zasobu ani do danych przechowywanych w usłudze App Configuration.
- Współautor lub właściciel: ta rola umożliwia zarządzanie zasobem usługi App Configuration, a jednocześnie zarządzanie innymi zasobami platformy Azure. Ta rola jest rolą uprzywilejowanego administratora. Udziela ona dostępu do kluczy dostępu zasobu. Chociaż dostęp do danych usługi App Configuration można uzyskać przy użyciu kluczy dostępu, ta rola nie udziela bezpośredniego dostępu do danych przy użyciu identyfikatora Entra firmy Microsoft.
- Czytelnik: użyj tej roli, aby odczytać zasób usługi App Configuration, a jednocześnie odczytywać inne zasoby platformy Azure. Ta rola nie udziela dostępu do kluczy dostępu zasobu ani do danych przechowywanych w usłudze App Configuration.
Uwaga
Po przypisaniu roli dla tożsamości zaczekaj do 15 minut na propagację uprawnień przed uzyskaniem dostępu do danych przechowywanych w usłudze App Configuration przy użyciu tej tożsamości.
Uwierzytelnianie przy użyciu poświadczeń tokenu
Aby umożliwić aplikacji uwierzytelnianie za pomocą identyfikatora Entra firmy Microsoft, biblioteka tożsamości platformy Azure obsługuje różne poświadczenia tokenu na potrzeby uwierzytelniania identyfikatora Entra firmy Microsoft. Możesz na przykład wybrać pozycję Poświadczenia programu Visual Studio podczas tworzenia aplikacji w programie Visual Studio, poświadczenia tożsamości obciążenia, gdy aplikacja działa na platformie Kubernetes lub Poświadczenie tożsamości zarządzanej po wdrożeniu aplikacji w usługach platformy Azure, takich jak Azure Functions.
Użyj wartości domyślnejAzureCredential
Jest DefaultAzureCredential
to wstępnie skonfigurowany łańcuch poświadczeń tokenu, który automatycznie podejmuje uporządkowaną sekwencję najpopularniejszych metod uwierzytelniania. Dzięki funkcji DefaultAzureCredential
można zachować ten sam kod zarówno w lokalnych środowiskach deweloperskich, jak i środowiskach platformy Azure. Ważne jest jednak, aby wiedzieć, które poświadczenia są używane w każdym środowisku, ponieważ należy przyznać odpowiednie role, aby autoryzacja działała. Na przykład autoryzuj własne konto, gdy spodziewasz się DefaultAzureCredential
powrotu do tożsamości użytkownika podczas programowania lokalnego. Podobnie włącz tożsamość zarządzaną w usłudze Azure Functions i przypisz jej niezbędną rolę, gdy oczekujesz DefaultAzureCredential
, że funkcja powróci do ManagedIdentityCredential
momentu uruchomienia aplikacji funkcji na platformie Azure.
Przypisywanie ról danych usługi App Configuration
Niezależnie od używanego poświadczenia należy przypisać odpowiednie role, zanim będzie mógł uzyskać dostęp do magazynu usługi App Configuration. Jeśli aplikacja musi tylko odczytywać dane z magazynu App Configuration, przypisz jej rolę Czytelnik danych usługi App Configuration. Jeśli aplikacja musi również zapisywać dane w magazynie App Configuration, przypisz jej rolę Właściciel danych konfiguracji aplikacji.
Wykonaj następujące kroki, aby przypisać role danych konfiguracji aplikacji do poświadczeń.
W witrynie Azure Portal przejdź do sklepu App Configuration i wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
Wybierz pozycję Dodaj -> Dodaj przypisanie roli.
Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli zostanie wyłączona. Tylko użytkownicy z rolami Właściciel lub Administrator dostępu użytkowników mogą przypisać role.
Na karcie Rola wybierz rolę Czytelnik danych konfiguracji aplikacji (lub inną rolę konfiguracji aplikacji odpowiednio), a następnie wybierz przycisk Dalej.
Na karcie Członkowie postępuj zgodnie z kreatorem, aby wybrać poświadczenia, do których udzielasz dostępu, a następnie wybierz przycisk Dalej.
Na koniec na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz , aby przypisać rolę.
Następne kroki
Dowiedz się, jak używać tożsamości zarządzanych do uzyskiwania dostępu do magazynu usługi App Configuration.