Autorizace přístupu ke konfiguraci Aplikace Azure pomocí ID Microsoft Entra

Kromě použití kódu HMAC (Hash-based Message Authentication Code) Aplikace Azure Configuration podporuje použití Microsoft Entra ID k autorizaci požadavků na instance app Configuration. Microsoft Entra ID umožňuje použít řízení přístupu na základě role v Azure (Azure RBAC) k udělení oprávnění k objektu zabezpečení. Objekt zabezpečení může být uživatel, spravovaná identita nebo instanční objekt aplikace. Další informace o rolích a přiřazeních rolí najdete v tématu Vysvětlení různých rolí.

Přehled

Požadavky vytvořené objektem zabezpečení pro přístup k prostředku služby App Configuration musí být autorizované. S ID Microsoft Entra je přístup k prostředku dvoustupňový proces:

  1. Identita objektu zabezpečení se ověří a vrátí se token OAuth 2.0. Název prostředku k vyžádání tokenu odpovídá https://login.microsoftonline.com/{tenantID} {tenantID} ID tenanta Microsoft Entra, ke kterému instanční objekt patří.
  2. Token se předá jako součást požadavku službě App Configuration kvůli autorizaci přístupu k zadanému prostředku.

Krok ověřování vyžaduje, aby žádost aplikace obsahovala přístupový token OAuth 2.0 za běhu. Pokud je aplikace spuštěná v rámci entity Azure, jako je aplikace Azure Functions, webová aplikace Azure nebo virtuální počítač Azure, může pro přístup k prostředkům použít spravovanou identitu. Informace o ověřování požadavků provedených spravovanou identitou pro Aplikace Azure Configuration najdete v tématu Ověřování přístupu k prostředkům konfigurace Aplikace Azure pomocí ID Microsoft Entra a spravovaných identit pro prostředky Azure.

Krok autorizace vyžaduje, aby k objektu zabezpečení byla přiřazena jedna nebo více rolí Azure. Aplikace Azure Konfigurace poskytuje role Azure, které zahrnují sady oprávnění pro prostředky app Configuration. Role přiřazené k objektu zabezpečení určují oprávnění poskytnutá objektu zabezpečení. Další informace o rolích Azure najdete v tématu Předdefinované role Azure pro Aplikace Azure Konfigurace.

Přiřazení rolí Azure pro přístupová práva

Microsoft Entra autorizuje přístupová práva k zabezpečeným prostředkům prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC).

Když je role Azure přiřazená k objektu zabezpečení Microsoft Entra, Azure udělí přístup k těmto prostředkům pro tento objekt zabezpečení. Přístup je vymezený na prostředek Konfigurace aplikace. Objekt zabezpečení Microsoft Entra může být uživatel, skupina, instanční objekt aplikace nebo spravovaná identita pro prostředky Azure.

Předdefinované role Azure pro konfiguraci Aplikace Azure

Azure poskytuje následující předdefinované role Azure pro autorizaci přístupu ke konfiguračním datům aplikace pomocí ID Microsoft Entra:

  • Vlastník dat konfigurace aplikace: Pomocí této role můžete udělit přístup ke konfiguračním datům aplikace pro čtení a zápis a odstranění. Tato role neuděluje přístup k prostředku App Configuration.
  • Čtenář dat konfigurace aplikace: Pomocí této role můžete udělit přístup pro čtení ke konfiguračním datům aplikace. Tato role neuděluje přístup k prostředku App Configuration.
  • Přispěvatel nebo vlastník: Tuto roli použijte ke správě prostředku konfigurace aplikace. Uděluje přístup k přístupovým klíčům prostředku. I když se k datům App Configuration dostanete pomocí přístupových klíčů, tato role neuděluje přímý přístup k datům pomocí Microsoft Entra ID. Tato role se vyžaduje, pokud při nasazování přistupujete ke konfiguračním datům aplikace prostřednictvím šablony ARM, Bicep nebo Terraformu. Další informace najdete v tématu nasazení.
  • Čtenář: Pomocí této role můžete udělit přístup pro čtení k prostředku App Configuration. Tato role neuděluje přístup k přístupovým klíčům prostředku ani k datům uloženým v App Configuration.

Poznámka:

Po přiřazení role pro identitu počkejte až 15 minut, než se oprávnění rozšíří před přístupem k datům uloženým ve službě App Configuration pomocí této identity.

Další kroky

Přečtěte si další informace o používání spravovaných identit ke správě služby App Configuration.