Autorisieren des Zugriffs auf Azure App Configuration mittels Microsoft Entra ID

Neben der Verwendung von HMAC (Hash-based Message Authentication Code) unterstützt Azure App Configuration die Verwendung von Microsoft Entra ID zum Autorisieren von Anforderungen an App Configuration-Instanzen. Microsoft Entra ID gestattet Ihnen die Verwendung der rollenbasierten Zugriffssteuerung in Azure (Role-Based Access Control, Azure RBAC), um einem Sicherheitsprinzipal Berechtigungen zu erteilen. Ein Sicherheitsprinzipal kann ein Benutzer, eine verwaltete Identität oder ein Anwendungsdienstprinzipal sein. Weitere Informationen zu Rollen und Rollenzuweisungen finden Sie unter Grundlegendes zu verschiedenen Rollen.

Übersicht

Von einem Sicherheitsprinzipal gesendete Anforderungen für den Zugriff auf eine App Configuration-Ressource müssen autorisiert werden. Mit Microsoft Entra ID ist der Zugriff auf eine Ressource ein zweistufiger Prozess:

  1. Die Identität des Sicherheitsprinzipals wird authentifiziert, und ein OAuth 2.0-Token wird zurückgegeben. Der Ressourcenname zum Anfordern eines Tokens lautet https://login.microsoftonline.com/{tenantID}, wobei {tenantID} der ID des Microsoft Entra-Mandanten entspricht, zu dem der Dienstprinzipal gehört.
  2. Das Token wird als Teil einer Anforderung an den App Configuration-Dienst übergeben, um den Zugriff auf die angegebene Ressource zu autorisieren.

Für den Authentifizierungsschritt ist es erforderlich, dass eine Anwendungsanforderung zur Laufzeit ein OAuth 2.0-Zugriffstoken enthält. Wenn eine Anwendung in einer Azure-Entität, z. B. einer Azure Functions-App, einer Azure-Web-App oder einem virtuellen Azure-Computer, ausgeführt wird, kann der Zugriff auf die Ressourcen über eine verwaltete Identität erfolgen. Informationen zum Authentifizieren von Anforderungen, die von einer verwalteten Identität an Azure App Configuration übermittelt werden, finden Sie unter Authentifizieren des Zugriffs auf Azure App Configuration-Ressourcen mit Microsoft Entra ID und verwalteten Identitäten für Azure-Ressourcen.

Der Autorisierungsschritt erfordert, dass dem Sicherheitsprinzipal mindestens eine Azure-Rolle zugewiesen wird. Azure App Configuration stellt Azure-Rollen bereit, die Berechtigungen für App Configuration-Ressourcen umfassen. Die einem Sicherheitsprinzipal zugewiesenen Rollen bestimmen die dem Prinzipal bereitgestellten Berechtigungen. Weitere Informationen zu Azure-Rollen finden Sie unter Integrierte Azure-Rollen für Azure App Configuration.

Zuweisen von Azure-Rollen für Zugriffsrechte

Microsoft Entra autorisiert Rechte für den Zugriff auf geschützte Ressourcen über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC).

Wenn einem Microsoft Entra-Sicherheitsprinzipal eine Azure-Rolle zugewiesen wird, gewährt Azure diesem Sicherheitsprinzipal Zugriff auf diese Ressourcen. Der Umfang des Zugriffs ist auf die App Configuration-Ressource beschränkt. Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein.

Integrierte Azure-Rollen für Azure App Configuration

Azure stellt die folgenden integrierten Azure-Rollen zum Autorisieren des Zugriffs auf App Configuration-Daten mittels Microsoft Entra ID bereit:

  • App Configuration-Datenbesitzer: Verwenden Sie diese Rolle, um Lese-, Schreib- und Löschzugriff auf App Configuration-Daten zu gewähren. Dadurch wird kein Zugriff auf die App Configuration-Ressource gewährt.
  • App Configuration-Datenleser: Verwenden Sie diese Rolle, um Lesezugriff auf App Configuration-Daten zu gewähren. Dadurch wird kein Zugriff auf die App Configuration-Ressource gewährt.
  • Mitwirkender oder Besitzer: Verwenden Sie diese Rolle, um die App Configuration-Ressource zu verwalten. Sie gewährt Zugriff auf die Zugriffsschlüssel der Ressource. Obwohl auf die App Configuration-Daten mithilfe von Zugriffsschlüsseln zugegriffen werden kann, wird mit dieser Rolle kein direkter Zugriff auf die Daten unter Verwendung von Microsoft Entra ID gewährt. Diese Rolle wird benötigt, wenn Sie während der Bereitstellung über eine ARM-Vorlage, Bicep oder Terraform auf die App-Konfigurationsdaten zugreifen. Weitere Informationen finden Sie unter Autorisierung.
  • Leser: Verwenden Sie diese Rolle, um Lesezugriff auf die App Configuration-Ressource zu gewähren. Dadurch wird weder Zugriff auf die Zugriffsschlüssel der Ressource noch auf die in App Configuration gespeicherten Daten gewährt.

Hinweis

Nachdem eine Rollenzuweisung für eine Identität vorgenommen wurde, können Sie bis zu 15 Minuten für die Weitergabe der Berechtigung zulassen, bevor Sie auf Daten zugreifen, die in App Configuration mit dieser Identität gespeichert sind.

Nächste Schritte

Weitere Informationen zur Verwendung verwalteter Identitäten zum Verwalten Ihres App Configuration-Diensts.