为拆分试验工作区（预览版）设置数据访问控制

Azure 应用程序配置中的拆分试验（预览版）使用 Microsoft Entra 来授权对拆分试验工作区资源的请求。 Microsoft Entra 还使用户能够使用自定义角色向安全主体授予权限。

数据访问控制概述

对拆分试验工作区发出的所有请求都必须经过授权。 若要设置访问控制策略，请创建新的 Microsoft Entra 应用程序注册或使用现有注册。 已注册的应用程序提供身份验证策略、安全原则、角色定义等，允许访问拆分试验工作区。

（可选）单个 Microsoft Entra Enterprise 应用程序可用于控制对多个拆分试验工作区的访问。

若要为拆分试验工作区设置访问控制策略，需要控制平面操作。 拆分试验只需应用程序 ID 即可设置访问策略。 上述 Entra 应用程序由客户拥有和完全控制。 应用程序必须位于同一个 Microsoft Entra 租户中，拆分试验工作区资源在该租户中已预配或被认为已预配。

通过 Microsoft Entra，设置访问资源需要两步流程：

1. 对安全主体的标识进行身份验证，并颁发 OAuth 2.0 令牌。 用于请求令牌的资源名称为 https://login.microsoftonline.com/<tenantID>，其中 <tenantID> 与服务主体所属的 Microsoft Entra 租户 ID 匹配。 确保范围为 api://{Entra application ID>/.default，其中 <Entra application ID> 与作为访问策略链接到拆分试验工作区资源的应用程序 ID 匹配。
2. 令牌作为请求的一部分传递到应用程序配置服务，以授予对指定资源的访问权限。

注册应用程序

注册新应用或使用现有的 Microsoft Entra 应用程序注册来运行试验。

注册新应用：

1. 在 Microsoft 管理中心，导航到“标识”、“应用程序”>、“应用注册”>。

   

2. 输入应用的“名称”，在“受支持的帐户类型”下，选择“仅此组织目录中的帐户”。

注释

应用程序必须位于同一个 Microsoft Entra 租户中，拆分试验工作区在该租户中已预配或被认为已预配。 此时只需要基本注册。 有关本主题的详细信息，请参阅注册应用程序。

启用 Entra 应用以充当受众

配置应用程序 ID URI，以允许 Entra 应用程序在请求身份验证令牌时用作全局受众/范围。

1. 在 Microsoft Entra 管理中心的“标识”中，选择“应用程序”>“应用注册”，然后通过选择应用程序的“显示名称”>打开它。 在打开的窗格中，在“概述”下，复制“应用程序 ID URI”。 如果您看到的不是应用程序 ID URI，而是“添加应用程序 ID URI”，请选择此选项，然后依次选择“添加”和“保存”。

   

2. 然后在应用的左侧菜单中选择“公开 API”。 确保“应用程序 ID URI”值为：，其中 api://<Entra application ID> 必须是相同的 Microsoft Entra 应用程序 IDEntra application ID。

   

允许用户从 Azure 门户请求对拆分试验的访问权限

Azure 门户用户界面实际上是拆分试验工作区的 UX。 它与拆分试验数据平面交互以设置指标、创建/更新/存档/删除试验、获取试验结果等。

必须预授权 Azure 门户拆分 UI 才能实现此目的。

添加范围

在 Microsoft Entra 管理中心中，转到你的应用并打开“公开 API”左侧菜单，然后选择“添加范围”。

1. 在 “谁可以同意？”下，选择“ 管理员和用户”。
2. 输入一个管理员同意显示名称和一个管理员同意说明文字。

授权分割试验资源供应商 ID

1. 在“公开 API”菜单中，向下滚动到“授权的客户端应用程序”“添加客户端应用程序”，并输入对应于拆分试验资源提供程序 ID 的客户端 ID：“d3e90440-4ec9-4e8b-878b-c89e889e9fbc”>。

   

2. 选择“添加应用程序”。

添加授权角色

拆分试验工作区支持使用已知角色来限定访问控制范围。 在 Entra 应用程序中添加以下角色。

1. 转到应用的“应用角色”菜单，然后选择“创建应用角色”。

2. 在打开的窗格中选择或输入以下信息，以创建 ExperimentationDataOwner 角色。 此角色为应用提供对拆分试验资源执行所有操作的完全访问权限。

   • 显示名称：输入“ExperimentationDataOwner”
   • 允许的成员类型：选择“两者(用户/组 + 应用程序)”
   • 值：输入“ExperimentationDataOwner”
   • 说明：输入“试验工作区的读写访问权限”
   • 是否要启用此应用角色?：选中此框。

   

3. 创建 ExperimentationDataReader 角色。 此角色为应用提供对拆分试验资源的读取访问权限，但不允许应用进行任何更改。

   • 显示名称：输入“ExperimentationDataReader”
   • 允许的成员类型：选择“两者(用户/组 + 应用程序)”
   • 值：输入“ExperimentationDataReader”
   • 说明：输入“试验工作区的只读访问权限”
   • 是否要启用此应用角色?：选中此框。

配置用户和角色分配

选择分配要求选项

1. 转到应用的“概述”菜单，并选择“本地目录中的托管应用程序”下的链接。 这会在 Microsoft 管理中心标识>企业应用程序菜单中打开您的应用程序。

2. 打开左侧的管理>属性，然后选择“需要分配”设置的首选项。

   • 是：表示只有企业应用程序中的“用户和组”下明确定义的条目才能获取令牌，从而访问关联的拆分试验工作区。 这是建议的选项。
   • 否：表示同一 Entra 租户中的每个人都可以获取令牌，因此可以通过拆分试验控制平面选择加入设置来访问关联的拆分试验工作区。

   

分配用户和组

1. 返回“用户和组”菜单，然后选择“添加用户/组”

   

2. 选择用户或组，然后选择为拆分试验工作区创建的角色之一。

相关内容

• 了解拆分试验工作区的故障排除。