Dela via

Få åtkomst till Azure App Configuration med Hjälp av Microsoft Entra-ID

  • Artikel

Azure App Configuration stöder auktorisering av begäranden till App Configuration-butiker med hjälp av Microsoft Entra-ID. Med Microsoft Entra-ID kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till säkerhetsobjekt, som kan vara användarhuvudnamn, hanterade identiteter eller tjänstens huvudnamn.

Översikt

Att komma åt ett App Configuration Store med Microsoft Entra-ID innebär två steg:

  1. Autentisering: Hämta en token för säkerhetsobjektet från Microsoft Entra ID för App Configuration. Mer information finns i Microsoft Entra-autentisering i App Configuration.

  2. Auktorisering: Skicka token som en del av en begäran till ett App Configuration Store. För att tillåta åtkomst till det angivna appkonfigurationsarkivet måste säkerhetsobjektet tilldelas lämpliga roller i förväg. Mer information finns i Microsoft Entra-auktorisering i App Configuration.

Inbyggda Azure-roller för Azure App Configuration

Azure tillhandahåller följande inbyggda roller för att auktorisera åtkomst till App Configuration med hjälp av Microsoft Entra-ID:

Åtkomst till dataplan

Begäranden om dataplansåtgärder skickas till slutpunkten för appkonfigurationsarkivet. Dessa begäranden gäller appkonfigurationsdata.

  • Appkonfigurationsdataägare: Använd den här rollen för att ge läs-, skriv- och borttagningsåtkomst till appkonfigurationsdata. Den här rollen beviljar inte åtkomst till appkonfigurationsresursen.
  • Dataläsare för appkonfiguration: Använd den här rollen för att ge läsbehörighet till appkonfigurationsdata. Den här rollen beviljar inte åtkomst till appkonfigurationsresursen.

Åtkomst till kontrollplan

Alla begäranden om kontrollplansåtgärder skickas till Azure Resource Manager-URL:en. Dessa begäranden gäller för appkonfigurationsresursen.

  • Appkonfigurationsdeltagare: Använd den här rollen för att endast hantera appkonfigurationsresursen. Den här rollen beviljar inte åtkomst för att hantera andra Azure-resurser. Den ger åtkomst till resursens åtkomstnycklar. Även om appkonfigurationsdata kan nås med hjälp av åtkomstnycklar, ger den här rollen inte direkt åtkomst till data med hjälp av Microsoft Entra-ID. Den ger åtkomst till återställning av borttagna appkonfigurationsresurser men inte för att rensa dem. Om du vill rensa borttagna appkonfigurationsresurser använder du rollen Deltagare .
  • Appkonfigurationsläsare: Använd den här rollen för att endast läsa appkonfigurationsresursen. Den här rollen ger inte åtkomst till att läsa andra Azure-resurser. Den beviljar inte åtkomst till resursens åtkomstnycklar eller till data som lagras i App Configuration.
  • Deltagare eller ägare: Använd den här rollen för att hantera appkonfigurationsresursen samtidigt som du kan hantera andra Azure-resurser. Den här rollen är en privilegierad administratörsroll. Den ger åtkomst till resursens åtkomstnycklar. Även om appkonfigurationsdata kan nås med hjälp av åtkomstnycklar, ger den här rollen inte direkt åtkomst till data med hjälp av Microsoft Entra-ID.
  • Läsare: Använd den här rollen för att läsa appkonfigurationsresursen samtidigt som du kan läsa andra Azure-resurser. Den här rollen beviljar inte åtkomst till resursens åtkomstnycklar eller till data som lagras i App Configuration.

Kommentar

När en rolltilldelning har gjorts för en identitet kan du tillåta upp till 15 minuter för behörigheten att spridas innan du får åtkomst till data som lagras i App Configuration med hjälp av den här identiteten.

Autentisering med tokenautentiseringsuppgifter

För att programmet ska kunna autentiseras med Microsoft Entra-ID stöder Azure Identity-biblioteket olika tokenautentiseringsuppgifter för Microsoft Entra-ID-autentisering. Du kan till exempel välja Visual Studio-autentiseringsuppgifter när du utvecklar ditt program i Visual Studio, Arbetsbelastningsidentitetsautentisering när programmet körs på Kubernetes eller Autentiseringsuppgifter för hanterad identitet när ditt program distribueras i Azure-tjänster som Azure Functions.

Använda DefaultAzureCredential

DefaultAzureCredential är en förkonfigurerad kedja av tokenautentiseringsuppgifter som automatiskt försöker utföra en ordnad sekvens med de vanligaste autentiseringsmetoderna. Med hjälp av DefaultAzureCredential kan du behålla samma kod i både lokala utvecklingsmiljöer och Azure-miljöer. Det är dock viktigt att veta vilka autentiseringsuppgifter som används i varje miljö, eftersom du behöver bevilja lämpliga roller för att auktorisering ska fungera. Du kan till exempel auktorisera ditt eget konto när du förväntar DefaultAzureCredential dig att återgå till din användaridentitet under den lokala utvecklingen. På samma sätt aktiverar du hanterad identitet i Azure Functions och tilldelar den den nödvändiga rollen när du förväntar DefaultAzureCredential dig att återgå till när funktionsappen ManagedIdentityCredential körs i Azure.

Tilldela dataroller för appkonfiguration

Oavsett vilka autentiseringsuppgifter du använder måste du tilldela dem lämpliga roller innan det kan komma åt appkonfigurationsarkivet. Om ditt program bara behöver läsa data från appkonfigurationsarkivet tilldelar du det rollen AppKonfigurationsdataläsare . Om ditt program också behöver skriva data till appkonfigurationsarkivet tilldelar du det rollen App Configuration Data Owner.if your application also needs to your App Configuration Store (App Configuration Data Owner ).

Följ de här stegen för att tilldela appkonfigurationsdataroller till dina autentiseringsuppgifter.

  1. I Azure Portal navigerar du till appkonfigurationsarkivet och väljer Åtkomstkontroll (IAM)..

  2. Välj Lägg till ->Lägg till rolltilldelning.

    Om du inte har behörighet att tilldela roller inaktiveras alternativet Lägg till rolltilldelning . Endast användare med rollen Ägare eller Administratör för användaråtkomst kan göra rolltilldelningar.

  3. På fliken Roll väljer du rollen Appkonfigurationsdataläsare (eller en annan appkonfigurationsroll efter behov) och väljer sedan Nästa.

  4. På fliken Medlemmar följer du guiden för att välja de autentiseringsuppgifter som du beviljar åtkomst till och väljer sedan Nästa.

  5. Slutligen går du till fliken Granska + tilldela och väljer Granska + tilldela för att tilldela rollen.

Nästa steg

Lär dig hur du använder hanterade identiteter för att få åtkomst till appkonfigurationsarkivet.