你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

管理对 Microsoft Playwright Testing 预览版中工作区的访问权限

本文介绍如何管理对 Microsoft Playwright Testing 预览版中工作区的访问权限。 该服务使用 Azure 基于角色的访问控制 (Azure RBAC) 来授权对工作区的访问权限。 角色分配是使用 Azure RBAC 控制资源访问权限的方式。

重要

Microsoft Playwright Testing 目前以预览版提供。 有关 beta 版、预览版或尚未正式发布的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

先决条件

  • 若要在 Azure 中分配角色,你的帐户需具有用户访问管理员所有者或某个经典管理员角色

    若要在 Azure 门户中验证你的权限,请执行以下操作:

    1. Azure 门户中,转到你的 Microsoft Playwright Testing 工作区。
    2. 在左侧窗格中选择“访问控制 (IAM)”,然后选择“查看我的访问权限”

默认角色

Microsoft Playwright Testing 工作区使用三个 Azure 内置角色。 若要授予用户访问工作区的权限,请为他们分配以下 Azure 内置角色之一:

角色 访问级别
读者 - 对 Playwright 门户中工作区的只读访问权限。
- 查看工作区的测试结果。
- 无法创建或删除工作区访问令牌
无法对该服务运行 Playwright 测试。
参与者 - 拥有在 Azure 门户中管理工作区的完全访问权限,但无法在 Azure RBAC 中分配角色。
- 对 Playwright 门户中工作区的完全访问权限。
- 创建和删除其访问令牌
- 对该服务运行 Playwright 测试。
所有者 - 拥有在 Azure 门户中管理工作区的完全访问权限,包括在 Azure RBAC 中分配角色。
- 对 Playwright 门户中工作区的完全访问权限。
- 创建和删除其访问令牌
- 对该服务运行 Playwright 测试。

重要

在分配 Azure RBAC 角色之前,请确定所需的访问范围。 最佳做法规定,始终最好只授予最小的可能范围。 在较广范围内中定义的 Azure RBAC 角色由其下的资源继承。 有关 Azure RBAC 角色分配范围的详细信息,请参阅 了解 Azure RBAC 的范围

向用户授予访问权限

可以使用 Azure 门户授予用户对 Microsoft Playwright Testing 工作区的访问权限:

  1. 使用 Azure 帐户登录到 Playwright 门户

  2. 选择工作区设置图标,然后转到“用户”页面

    屏幕截图显示了 Playwright Testing 门户中工作区设置中的“用户”页面。

  3. 在 Azure 门户中选择“在 Azure 门户中管理工作区的用户”转到你的工作区

    或者,可以直接转到 Azure 门户并选择你的工作区:

    1. 登录到 Azure 门户
    2. 在搜索框中输入“Playwright Testing”,然后在“服务”类别中选择“Playwright Testing”
    3. 从列表中选择你的 Microsoft Playwright Testing 工作区。
    4. 在左侧窗格中,选择“访问控制(IAM)”。
  4. 在“访问控制 (IAM)”页面上,选择“添加”>“添加角色分配”

    如果你不拥有分配角色的权限,则将禁用“添加角色分配”选项

    屏幕截图显示了如何在 Azure 门户中向工作区添加角色分配。

  5. 在“角色”选项卡上,选择“特权管理员”角色

  6. 选择其中一个 Microsoft Playwright Testing 默认角色,然后选择“下一步”

    屏幕截图显示了在 Azure 门户中添加角色分配时的角色列表。

  7. 在“成员”选项卡上,确保已选择“用户、组或服务主体”

  8. 选择“选择成员”,然后查找并选择用户、组或服务主体

    屏幕截图显示了在 Azure 门户中添加角色分配时的成员选择界面。

  9. 选择“查看 + 分配”以分配角色。

    有关如何分配角色的详细信息,请参阅使用 Azure 门户分配 Azure 角色

撤销用户的访问权限

可以使用 Azure 门户撤销用户对 Microsoft Playwright Testing 工作区的访问权限:

  1. Azure 门户中,转到你的 Microsoft Playwright Testing 工作区。

  2. 在左侧窗格中,依次选择“访问控制 (IAM)”、“角色分配”

  3. 在角色分配列表中,勾选要删除的用户和角色,然后选择“删除”

    屏幕截图显示了角色分配列表以及如何在 Azure 门户中删除分配。

  4. 在确认窗口中选择“是”以删除角色分配

    有关如何删除角色分配的详细信息,请参阅删除 Azure 角色分配

(可选)使用 Microsoft Entra 安全组管理工作区访问权限

除了授予或撤销单个用户的访问权限以外,还可以使用 Microsoft Entra 安全组来管理用户组的访问权限。 此方法提供以下优势:

  • 这样就不需要授予团队或项目负责人在工作区中的所有者角色。 可以仅授予他们访问安全组的权限,让他们管理对工作区的访问权限。
  • 你能够以组的形式组织、管理和撤销用户对工作区和其他资源的权限,而无需逐一管理每个用户的权限。
  • 使用 Microsoft Entra 组有助于避免达到角色分配的订阅限制

若要使用 Microsoft Entra 安全组,请执行以下操作:

  1. 创建一个安全组

  2. 添加组所有者。 此用户有权添加或删除组成员。 组所有者不必是组成员,也不必在工作区中拥有直接 RBAC 角色。

  3. 为该组分配工作区中的 RBAC 角色,例如读取者或参与者。

  4. 添加组成员。 添加的成员现在可以访问工作区。

为受限租户创建自定义角色

如果使用 Microsoft Entra 租户限制和具有临时访问权限的用户,则可以在 Azure RBAC 中创建自定义角色来管理权限并授予运行测试的访问权限。

执行以下步骤来管理自定义角色的权限:

  1. 按照这些步骤创建 Azure 自定义角色

  2. 选择“添加权限”,在搜索框中输入“Playwright”,然后选择“Microsoft.AzurePlaywrightService”

  3. 选择 microsoft.playwrightservice/accounts/write 权限,然后选择“添加”

    屏幕截图显示了在 Azure 门户中添加到自定义角色的权限列表,其中突出显示了要添加的权限记录。

  4. 按照这些步骤为用户帐户的自定义角色添加角色分配

    该用户现在可以继续在工作区中运行测试。

故障排除

使用 Azure 基于角色的访问控制 (Azure RBAC) 时,请注意以下几点:

  • 当你在 Azure 中创建资源(例如工作区)时,并不会自动成为该资源的所有者。 你的角色继承自你在该订阅中获得相应授权的最高范围角色。 例如,如果你是订阅的参与者,则有权创建 Microsoft Playwright Testing 工作区。 但是,系统将为你分配该工作区的参与者角色,而不是所有者角色。

  • 针对同一 Microsoft Entra 用户的两个角色分配具有冲突的 Actions/NotActions 部分时,如果操作在某个角色的 NotActions 中列出,但也在另一个角色中作为 Actions 列出,则此类操作可能不会生效。 若要详细了解 Azure 如何分析角色分配,请参阅 Azure RBAC 如何确定用户是否有权访问资源

  • 新的角色分配有时可能需要长达 1 小时才能生效,覆盖缓存的权限。