使用 Microsoft Entra 識別碼授權存取 Azure 應用程式組態
除了使用哈希式訊息驗證碼 (HMAC),Azure 應用程式組態 還支援使用 Microsoft Entra ID 來授權 應用程式組態 實例的要求。 Microsoft Entra ID 可讓您使用 Azure 角色型存取控制 (Azure RBAC) 將權限授與安全性主體。 安全性主體可能是使用者、 受控識別或 應用程式服務主體。 若要深入瞭解角色和角色指派,請參閱 瞭解不同的角色。
概觀
安全性主體要求存取 應用程式組態 資源必須獲得授權。 使用 Microsoft Entra ID 時,存取資源的流程分為兩個步驟:
- 安全性主體的身分識別已驗證,並傳回 OAuth 2.0 令牌。 要求令牌的資源名稱是
https://login.microsoftonline.com/{tenantID}
{tenantID}
符合服務主體所屬的 Microsoft Entra 租使用者識別碼。 - 令牌會在要求中傳遞至 應用程式組態 服務,以授權存取指定的資源。
驗證步驟要求應用程式要求在執行階段包含 OAuth 2.0 存取權杖。 如果應用程式在 Azure 實體內執行,例如 Azure Functions 應用程式、Azure Web 應用程式或 Azure VM,則可以使用受控識別來存取資源。 若要瞭解如何驗證受控識別對 Azure 應用程式組態 提出的要求,請參閱使用適用於 Azure 資源的 Microsoft Entra 識別碼和受控識別來驗證 Azure 應用程式組態 資源的存取權。
授權步驟需要將一或多個 Azure 角色指派給安全性主體。 Azure 應用程式組態 提供 Azure 角色,其中包含一組 應用程式組態 資源的許可權。 指派給安全性主體的角色會決定提供給主體的許可權。 如需 Azure 角色的詳細資訊,請參閱適用於 Azure 應用程式組態 的 Azure 內建角色。
指派 Azure 角色以取得存取權限
Microsoft Entra 會透過 Azure 角色型存取控制 (Azure RBAC) 來授與存取受保護資源的權限。
將 Azure 角色指派給 Microsoft Entra 安全性主體時,Azure 會將那些資源的存取權授與該安全性主體。 存取範圍限定於 應用程式組態 資源。 Microsoft Entra 安全性主體可以是使用者、群組或應用程式服務主體,或是適用於 Azure 資源的受控識別。
適用於 Azure 應用程式組態的 Azure 內建角色
Azure 提供下列 Azure 內建角色,以使用 Microsoft Entra ID 授權存取 應用程式組態 數據:
- 應用程式組態 數據擁有者:使用此角色來提供 應用程式組態 數據的讀取/寫入/刪除存取權。 此角色不會授與 應用程式組態 資源的存取權。
- 應用程式組態 數據讀取者:使用此角色來提供 應用程式組態 數據的讀取許可權。 此角色不會授與 應用程式組態 資源的存取權。
- 參與者或擁有者:使用此角色來管理 應用程式組態 資源。 它會授與資源的存取密鑰存取權。 雖然可以使用存取密鑰來存取 應用程式組態 數據,但此角色不會使用 Microsoft Entra ID 授與數據的直接存取權。 如果您在部署期間透過ARM範本、Bicep 或 Terraform 存取 應用程式組態 資料,則需要此角色。 如需詳細資訊,請參閱 部署。
- 讀者:使用此角色來授與 應用程式組態 資源的讀取許可權。 此角色不會將存取權授與資源的存取密鑰,也不會授與儲存在 應用程式組態 中的數據。
注意
為身分識別指派角色之後,最多允許 15 分鐘的許可權傳播,再使用此身分識別存取儲存在 應用程式組態 中的數據。
下一步
深入瞭解如何使用受控識別來管理您的 應用程式組態 服務。