Configuración del control de acceso a datos para el área de trabajo de experimentación dividida (versión preliminar)

La experimentación dividida en Azure App Configuration (versión preliminar) usa Microsoft Entra para autorizar solicitudes de recursos del área de trabajo de experimentación dividida. Microsoft Entra también permite el uso de roles personalizados para conceder permisos a las entidades de seguridad.

Información general sobre el control de acceso a datos

Todas las solicitudes realizadas al área de trabajo de experimentación dividida deben estar autorizadas. Para configurar una directiva de control de acceso, cree un nuevo registro de aplicación de Microsoft Entra o use uno existente. La aplicación registrada proporciona la directiva de autenticación, los principios de seguridad, las definiciones de roles, etc., para permitir el acceso al área de trabajo de experimentación dividida.

Opcionalmente, se puede usar una sola aplicación de Microsoft Entra Enterprise para controlar el acceso a varias áreas de trabajo de Experimentación dividida.

Para configurar la directiva de control de acceso para el área de trabajo de experimentación dividida, se necesita una operación del plano de control. La experimentación dividida solo requiere el identificador de aplicación para configurar la directiva de acceso. La aplicación de Entra es propiedad y está totalmente controlada por el cliente. La aplicación debe estar en el mismo inquilino de Microsoft Entra, en el que se aprovisiona o se considera que se aprovisiona el recurso Área de trabajo de experimentación dividida.

Con Microsoft Entra, el acceso a un recurso se configura en un proceso de dos pasos:

1. Se autentica la identidad de la entidad de seguridad y se emite un token de OAuth 2.0. El nombre de recurso usado para solicitar un token es https://login.microsoftonline.com/<tenantID>, donde <tenantID> coincide con el identificador de inquilino de Microsoft Entra al que pertenece la entidad de servicio. Asegúrese de que el ámbito es api://{Entra application ID>/.default, donde <Entra application ID> coincide con el identificador de aplicación vinculado como directiva de acceso al recurso Área de trabajo de experimentación dividida.
2. El token se pasa como parte de una solicitud al servicio App Configuration para autorizar el acceso al recurso especificado.

Registrar una aplicación

Registre una nueva aplicación o use un registro de aplicación de Microsoft Entra existente para ejecutar la experimentación.

Para registrar una nueva aplicación:

1. En el Centro de administración de Microsoft, vaya a Identidad>Aplicaciones>Registros de aplicaciones.

   

2. Escriba un nombre para la aplicación y, en Tipos de cuenta admitidos, seleccione Solo cuentas en este directorio organizativo.

Permitir que la aplicación Entra se use como audiencia

Configure el URI del identificador de aplicación para permitir que la aplicación Entra se use como audiencia o ámbito global al solicitar un token de autenticación.

1. En el Centro de administración de Microsoft Entra, en Identidad>Aplicaciones>Registros de aplicaciones, abra la aplicación seleccionando su Nombre para mostrar. En el panel que se abre, en Información general, copie el URI de identificador de aplicación. Si en lugar del URI de identificador de aplicación ve Agregar un URI de identificador de aplicación, seleccione esta opción y, después, elija Agregar y Guardar.

   

2. A continuación, seleccione Exponer una API en el menú izquierdo de la aplicación. Asegúrese de que el valor de URI del identificador de aplicación es: api://<Entra application ID> donde Entra application ID debe ser el mismo identificador de aplicación de Microsoft Entra.

   

Permitir a los usuarios solicitar acceso a la experimentación dividida desde Azure Portal

La interfaz de usuario de Azure Portal es eficazmente la experiencia de usuario para el área de trabajo de experimentación dividida. Interactúa con el plano de datos de experimentación dividida para configurar métricas, crear, actualizar, archivar o eliminar experimentos, obtener resultados del experimento, etc.

Debe autorizar previamente la interfaz de usuario dividida de Azure Portal para lograrlo.

Agregar ámbito

En el Centro de administración de Microsoft Entra, vaya a la aplicación y abra el menú izquierdo Exponer una API y seleccione Agregar un ámbito.

1. En ¿Quién puede dar su consentimiento?, seleccione Administradores y usuarios.
2. Escriba un Nombre para mostrar del consentimiento del administrador y una Descripción del consentimiento del administrador.

Autorización del identificador del proveedor de recursos de experimentación dividida

1. En el menú Exponer una API, desplácese hacia abajo hasta Aplicaciones cliente autorizadas>Agregar una aplicación cliente y escriba el identificador de cliente correspondiente al identificador del proveedor de recursos de experimentación dividida: d3e90440-4ec9-4e8b-878b-c89e889e9fbc.

   

2. Seleccione Agregar aplicación.

Adición de roles de autorización

El área de trabajo de experimentación dividida admite roles conocidos para definir el ámbito del control de acceso. Agregue los siguientes roles en la aplicación Entra.

1. Vaya al menú Roles de aplicación y seleccione Crear rol de aplicación.

2. Seleccione o escriba la siguiente información en el panel que se abre para crear un rol ExperimentationDataOwner. Este rol proporciona a la aplicación acceso completo para ejecutar todas las operaciones en el recurso de experimentación dividida.

   • Nombre para mostrar: escriba ExperimentationDataOwner
   • Tipos de miembros permitidos: seleccione Ambos (Usuarios/Grupos + Aplicaciones)
   • Valor escriba ExperimentationDataOwner
   • Descripción: escriba Acceso de lectura y escritura al área de trabajo experimentación
   • ¿Desea habilitar este rol de aplicación?: active esta casilla.

   

3. Cree un rol ExperimentationDataReader. Este rol proporciona a la aplicación acceso de lectura en el recurso de experimentación dividida, pero no permite realizar ningún cambio.

   • Nombre para mostrar: escriba ExperimentationDataReader
   • Tipos de miembros permitidos: seleccione Ambos (Usuarios/Grupos + Aplicaciones)
   • Valor escriba ExperimentationDataReader
   • Descripción: escriba Acceso de solo lectura al área de trabajo de experimentación
   • ¿Desea habilitar este rol de aplicación?: active esta casilla.

Configuración de asignaciones de usuarios y roles

Elección de una opción de requisito de asignación

1. Vaya al menú Información general de la aplicación y seleccione el vínculo debajo de Aplicación administrada en directorio local. Se abre la aplicación en el menú Identidad>Aplicación empresarial del Centro de administración de Microsoft.

2. Abra Administrar>Propiedades a la izquierda y seleccione la opción preferida para la opción Asignación necesaria.

   • Sí: significa que solo las entradas definidas explícitamente en Usuarios y grupos de la aplicación empresarial pueden obtener un token y, por tanto, acceder al área de trabajo de experimentación dividida asociada. Ésta es la opción recomendada.
   • No: significa que todos los usuarios del mismo inquilino de Entra pueden obtener tokens y, por lo tanto, se pueden permitir, a través del valor de participación del plano de control de experimentación dividida, para acceder al área de trabajo de experimentación dividida asociada.

   

Asignación de usuarios y grupos

1. Vuelva al menú Usuarios y grupos y seleccione Agregar usuario o grupo.

   

2. Seleccione un usuario o un grupo y seleccione uno de los roles que creó para el área de trabajo de experimentación dividida.

Contenido relacionado

• Obtenga información sobre la solución de problemas del área de trabajo de experimentación dividida.