Поделиться через

Доступ Конфигурация приложений Azure с помощью идентификатора Microsoft Entra

  • Статья

Конфигурация приложений Azure поддерживает авторизацию запросов для Конфигурация приложений хранилищ с помощью идентификатора Microsoft Entra. С помощью идентификатора Microsoft Entra можно использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъектам безопасности, которые могут быть субъектами-пользователями, управляемыми удостоверениями или субъектами-службами.

Обзор

Доступ к хранилищу Конфигурация приложений с помощью идентификатора Microsoft Entra включает в себя два шага.

  1. Проверка подлинности. Получение маркера субъекта безопасности из идентификатора Microsoft Entra для Конфигурация приложений. Дополнительные сведения см. в разделе проверки подлинности Microsoft Entra в Конфигурация приложений.

  2. Авторизация: передача маркера в рамках запроса в хранилище Конфигурация приложений. Чтобы авторизовать доступ к указанному хранилищу Конфигурация приложений, субъект безопасности должен быть назначен соответствующим ролям заранее. Дополнительные сведения см. в разделе авторизации Microsoft Entra в Конфигурация приложений.

Встроенные роли Azure для Конфигурации приложений

Azure предоставляет следующие встроенные роли для авторизации доступа к Конфигурация приложений с помощью идентификатора Microsoft Entra:

Доступ к плоскости данных

Запросы на операции плоскости данных отправляются в конечную точку хранилища Конфигурация приложений. Эти запросы относятся к Конфигурация приложений данным.

  • Конфигурация приложений владелец данных: используйте эту роль для предоставления доступа к данным Конфигурация приложений чтения, записи и удаления. Эта роль не предоставляет доступ к ресурсу Конфигурация приложений.
  • Конфигурация приложений средство чтения данных: используйте эту роль для предоставления доступа на чтение к данным Конфигурация приложений. Эта роль не предоставляет доступ к ресурсу Конфигурация приложений.

Доступ к плоскости управления

Все запросы на операции плоскости управления отправляются по URL-адресу Azure Resource Manager. Эти запросы относятся к ресурсу Конфигурация приложений.

  • Конфигурация приложений участник. Используйте эту роль для управления только Конфигурация приложений ресурсом. Эта роль не предоставляет доступ к управлению другими ресурсами Azure. Она обеспечивает доступ к ключам доступа ресурса. Хотя доступ к данным Конфигурация приложений можно получить с помощью ключей доступа, эта роль не предоставляет прямой доступ к данным с помощью идентификатора Microsoft Entra. Он предоставляет доступ для восстановления удаленного Конфигурация приложений ресурса, но не для их очистки. Чтобы очистить удаленные Конфигурация приложений ресурсы, используйте роль участника.
  • Конфигурация приложений читатель: используйте эту роль для чтения только Конфигурация приложений ресурса. Эта роль не предоставляет доступ для чтения других ресурсов Azure. Он не предоставляет доступ к ключам доступа ресурса, а также к данным, хранящимся в Конфигурация приложений.
  • Участник или владелец. Используйте эту роль для управления ресурсом Конфигурация приложений, а также для управления другими ресурсами Azure. Эта роль является ролью привилегированного администратора. Она обеспечивает доступ к ключам доступа ресурса. Хотя доступ к данным Конфигурация приложений можно получить с помощью ключей доступа, эта роль не предоставляет прямой доступ к данным с помощью идентификатора Microsoft Entra.
  • Читатель: используйте эту роль для чтения Конфигурация приложений ресурса, а также для чтения других ресурсов Azure. Эта роль не предоставляет доступ к ключам доступа ресурса, а также к данным, хранящимся в Конфигурация приложений.

Примечание.

После назначения удостоверению роли на применение разрешений понадобится до 15 минут, прежде чем через это удостоверение станут доступны данные в конфигурации приложения.

Проверка подлинности с помощью учетных данных маркера

Чтобы приложение выполнялось проверку подлинности с помощью идентификатора Microsoft Entra, библиотека удостоверений Azure поддерживает различные учетные данные маркера для проверки подлинности идентификатора Microsoft Entra. Например, при разработке приложения в Visual Studio можно выбрать учетные данные Visual Studio, учетные данные удостоверения рабочей нагрузки при запуске приложения в Kubernetes или учетные данные управляемого удостоверения при развертывании приложения в службах Azure, таких как Функции Azure.

Использование DefaultAzureCredential

Это DefaultAzureCredential предварительно настроенная цепочка учетных данных маркера, которая автоматически пытается упорядоченной последовательности наиболее распространенных методов проверки подлинности. DefaultAzureCredential Использование позволяет сохранить один и тот же код как в локальных средах разработки, так и в средах Azure. Однако важно знать, какие учетные данные используются в каждой среде, так как необходимо предоставить соответствующие роли для авторизации. Например, авторизуйте собственную учетную запись при ожидании DefaultAzureCredential возврата к удостоверению пользователя во время локальной разработки. Аналогичным образом включите управляемое удостоверение в Функции Azure и назначьте ей необходимую роль, когда ожидаетсяDefaultAzureCredential, что приложение-функция возвращается к ManagedIdentityCredential моменту запуска приложения-функции в Azure.

Назначение ролей данных Конфигурация приложений

Независимо от того, какие учетные данные вы используете, необходимо назначить ему соответствующие роли, прежде чем он сможет получить доступ к хранилищу Конфигурация приложений. Если приложению нужно только считывать данные из хранилища Конфигурация приложений, назначьте ей роль чтения данных Конфигурация приложений. Если приложение также должно записывать данные в хранилище Конфигурация приложений, назначьте ему роль владельца Конфигурация приложений данных.

Выполните следующие действия, чтобы назначить учетным данным роли Конфигурация приложений данных.

  1. В портал Azure перейдите к хранилищу Конфигурация приложений и выберите элемент управления доступом (IAM).

  2. Выберите Добавить —> Добавить назначение ролей.

    Если у вас нет разрешения на назначение ролей, параметр "Добавить назначение ролей" будет отключен. Только пользователи с ролями "Владелец " или "Администратор доступа пользователей" могут назначать роли.

  3. На вкладке "Роль" выберите роль чтения данных Конфигурация приложений (или другую роль Конфигурация приложений соответствующим образом) и нажмите кнопку "Далее".

  4. На вкладке "Участники" перейдите к мастеру, чтобы выбрать учетные данные, к которым вы предоставляете доступ, а затем нажмите кнопку "Далее".

  5. Наконец, на вкладке "Рецензирование и назначение " выберите "Рецензирование" и " Назначить " для назначения роли.

Следующие шаги

Узнайте, как использовать управляемые удостоверения для доступа к хранилищу Конфигурация приложений.