تخويل الوصول إلى الجداول باستخدام Azure Active Directory

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يدعم Azure Storage استخدام Azure Active Directory (Azure AD) لتخويل طلبات وضع البيانات في جدول. باستخدام Microsoft Azure Active Directory، يمكنك استخدام التحكم في الوصول استنادًا إلى الدور لـ Azure (Azure RBAC) لمنح أذونات لأساس الأمان، والذي قد يكون عبارة عن مستخدم أو مجموعة أو كيان خدمة تطبيق. يتم مصادقة أساس الأمان بواسطة Azure AD لإرجاع رمز OAuth 2.0. يمكن استخدام الرمز المميز لاحقا لتخويل طلب مقابل خدمة الجدول.

إن تخويل الطلبات مقابل Azure Storage باستخدام Azure AD يوفر أمان أعلى وسهولة استخدام عبر تخويل المفتاح المشترك. توصي Microsoft باستخدام تخويل Azure AD مع تطبيقات الجدول عندما يكون ذلك ممكناً لضمان الوصول بأقل قدر ممكن من الامتيازات المطلوبة.

يتوفر التخويل باستخدام Azure AD لجميع حسابات التخزين ذات الأغراض العامة في جميع المناطق العامة وشبكات النظير الوطنية. تدعم حسابات التخزين التي تم إنشاؤها باستخدام نموذج توزيع Azure Resource Manager فقط تخويل Azure AD.

نظرة عامة حول Azure AD للجداول

عندما يحاول مسؤول الأمان (مستخدم أو مجموعة أو تطبيق) الوصول إلى مورد جدول، يجب تخويل الطلب. باستخدام Microsoft Azure Active Directory، يعد الوصول إلى مورد عملية من خطوتين. يتم، أولاً مصادقة هوية مسؤول الأمان، ويتم إرجاع رمز OAuth 2.0 المميز. بعد ذلك، يتم تمرير الرمز المميز كجزء من طلب إلى خدمة جدول لتقوم الخدمة بتخويل الوصول إلى المورد المُحدد.

تتطلب خطوة المصادقة أن يحتوي طلب التطبيق على رمز وصول OAuth 2.0 المميز عند وقت التشغيل. إذا كان أحد التطبيقات قيد التشغيل من داخل كيان Azure مثل الجهاز الظاهري لـ Azure أو مجموعة مقاييس الجهاز الظاهري أو تطبيق Azure Functions، فيمكنه استخدام هوية مدارة للوصول إلى الجداول. لمعرفة كيفية تخويل الطلبات التي تقدمها هويات مدارة، راجع تخويل الوصول إلى جدول بيانات باستخدام هويات مدارة لموارد Azure.

تتطلب خطوة التفويض تعيين دور أو أكثر من أدوار Azure إلى أساس الأمان. يوفر Azure Storage أدوار Azure التي تتضمن مجموعات شائعة من أذونات الوصول لجدول البيانات. تحدد الأدوار التي تم تعيينها لمسؤول الأمان الأذونات التي سيحصل عليها. لمعرفة المزيد حول تعيين أدوار Azure للوصول إلى الجدول، راجع تعيين دور Azure للوصول إلى بيانات الجدول.

يمكن أيضاً للتطبيقات الأصلية وتطبيقات الويب التي تقدم الطلبات إلى خدمة جدول Azure أن يخولا الوصول باستخدام Azure AD. لمعرفة كيفية طلب رمز وصول مميز واستخدامه لتخويل الطلبات، راجع تخويل الوصول إلى تخزين Azure باستخدام Azure AD من تطبيق تخزين Azure.

تعيين أدوار Azure لحقوق الوصول

يأذن Microsoft Azure Active Directory (Azure AD) بحقوق الوصول إلى الموارد الآمنة من خلال⁧⁧⁩⁩التحكم في الوصول استنادًا إلى دور Azure (Azure RBAC)⁧⁧⁩⁩. يحدد Azure Storage مجموعة من أدوار Azure المدمجة التي تشمل مجموعات شائعة من الأذونات المستخدمة للوصول إلى بيانات الجدول. يمكنك أيضاً تحديد أدوار مخصصة للوصول إلى بيانات الجدول.

عند تعيين دور لأساس أمان Microsoft Azure Active Directory، يقوم Azure بمنح الوصول إلى تلك الموارد لأساس الأمان هذا. يمكن لأساس أمان Microsoft Azure Active Directory أن يكون مستخدم أو مجموعة أو كيان خدمة تطبيق أو هوية مُدارة لموارد Azure.

نطاق المورد

قبل تعيين التحكم في الوصول استناداً إلى الدور Azure RBAC إلى مسؤول أمان، حدد نطاق الوصول الذي ستخصصه لمسؤول الأمان. تقتضي أفضل الممارسات أنه من الأفضل دائمًا منح أضيق نطاق ممكن فقط. تنتقل صلاحيات أدوار التحكم في الوصول استناداً إلى الدور لـ Azure المحددة على نطاق أوسع إلى الموارد الموجودة أسفلها.

يمكنك تحديد نطاق الوصول إلى موارد جدول Azure على المستويات التالية، بدءاً من النطاق الأضيق:

• جدول فردي. في هذا النطاق، ينطبق تعيين الدور على جدول محدد.
• حساب التخزين. في هذا النطاق، ينطبق تعيين الدور على جميع الجداول في الحساب.
• مجموعة الموارد. في هذا النطاق، ينطبق تعيين دور على جميع الجداول في كل حسابات التخزين في مجموعة الموارد.
• الاشتراك. في هذا النطاق، ينطبق تعيين دور على جميع الجداول في كل حسابات التخزين في كل مجموعات الموارد في الاشتراك.
• مجموعة الإدارة. في هذا النطاق، ينطبق تعيين دور على جميع قوائم الانتظار في كل حسابات التخزين في كل مجموعات الموارد في كل الاشتراكات في مجموعة الإدارة.

لمزيد من المعلومات حول نطاق تعيينات دور التحكم في الوصول استناداً إلى الدور لـ Azure، راجع فهم نطاق التحكم في الوصول استناداً إلى الدور لـ Azure.

أدوار Azure المضمنة للجداول

يوفر التحكم في الوصول استناداً إلى الدور لـ Azure عدداً من الأدوار المضمنة لتخويل الوصول إلى الجدول باستخدام Azure AD وOAuth. تتضمن الأدوار المضمنة التي توفر أذونات للجداول في Azure Storage ما يلي:

• مساهم بيانات جدول التخزين: يستخدم لمنح أذونات القراءة/الكتابة/الحذف لموارد تخزين الجدول.
• قارئ بيانات جدول التخزين: يستخدم لمنح أذونات للقراءة فقط لموارد تخزين الجدول.

لمعرفة كيفية تعيين دور Azure مضمن إلى مسؤول أمان، راجع تعيين دور Azure للوصول إلى بيانات الجدول. لمعرفة كيفية إدراج أدوار التحكم في الوصول استناداً إلى الدور لـ Azure وأذوناتها، راجع إدراج تعريفات دور Azure.

لمزيد من المعلومات حول كيفية تعريف الأدوار المضمنة لـ Azure Storage، راجع فهم تعريفات الدور. للحصول على معلومات حول إنشاء أدوار Azure مخصصة، يرجى مراجعة⁧⁧⁩⁩أدوار Azure المخصصة⁧⁧⁩⁩.

لا يسمح لمسؤول الأمان الوصول إلى بيانات الجدول إلا عن طريق الأدوار المحددة صراحة للوصول للبيانات. تسمح الأدوار المضمنة مثل المالك والمساهم ومساهم حساب التخزين لمسؤول الأمان بإدارة حساب التخزين، ولكنها لا توفر الوصول إلى بيانات الجدول داخل هذا الحساب عبر Azure AD. ومع ذلك، إذا كان الدور يتضمن Microsoft.Storage/storageAccounts/listKeys/action، فيمكن للمستخدم الذي تم تعيين هذا الدور له الوصول إلى البيانات الموجودة في حساب التخزين عبر تخويل المفتاح المشترك باستخدام مفاتيح الوصول إلى الحساب.

للحصول على معلومات مفصلة حول أدوار Azure المضمنة لـ Azure Storage لكل من خدمات البيانات وخدمة الإدارة، راجع قسم التخزين في أدوار Azure المضمنة للتحكم في الوصول استناداً إلى الدور لـ Azure. بالإضافة إلى ذلك، للحصول على معلومات حول الأدوار المختلفة التي توفر أذونات في Azure، راجع أدوار مسؤول الاشتراك التقليدي و Azure و Azure AD.

هام

قد تستغرق تعيينات الأدوار في Azure حوالي 30 دقيقة.

أذونات الوصول لعمليات البيانات

لتفاصيل حول الأذونات المطلوبة للاتصال بعمليات خدمة الجداول المحددة، راجع أذونات استدعاء عمليات البيانات.

الخطوات التالية

• تخويل الوصول إلى البيانات في Azure Storage
• تعيين دور Azure للوصول إلى بيانات الجدول