Hozzáférés engedélyezése Azure-alkalmazás konfigurációhoz a Microsoft Entra-azonosító használatával

  • Cikk

A kivonatalapú üzenethitelesítési kód (HMAC) használata mellett a Azure-alkalmazás Configuration támogatja a Microsoft Entra ID használatát az alkalmazáskonfigurációs példányokra irányuló kérések engedélyezéséhez. A Microsoft Entra ID lehetővé teszi az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatát egy biztonsági tag engedélyeinek megadásához. A biztonsági tagok lehetnek felhasználók, felügyelt identitások vagy alkalmazásszolgáltatás-tagok. A szerepkörökről és a szerepkör-hozzárendelésekről további információt a különböző szerepkörök ismertetése című témakörben talál.

Áttekintés

Az alkalmazáskonfigurációs erőforrás eléréséhez egy biztonsági tag által küldött kéréseket engedélyezni kell. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat:

  1. A rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza. A jogkivonat igényléséhez használt erőforrásnév megegyezik https://login.microsoftonline.com/{tenantID}{tenantID} a Microsoft Entra bérlőazonosítójával, amelyhez a szolgáltatásnév tartozik.
  2. A jogkivonatot a rendszer egy kérés részeként továbbítja az App Configuration szolgáltatásnak a megadott erőforráshoz való hozzáférés engedélyezéséhez.

A hitelesítési lépéshez egy alkalmazáskérésnek rendelkeznie kell egy OAuth 2.0 hozzáférési jogkivonattal futásidőben. Ha egy alkalmazás egy Azure-entitáson belül fut, például egy Azure Functions-alkalmazáson, egy Azure-webalkalmazáson vagy egy Azure-beli virtuális gépen, akkor egy felügyelt identitással érheti el az erőforrásokat. Ha szeretné megtudni, hogyan hitelesítheti a felügyelt identitások által a konfiguráció Azure-alkalmazás kéréseit, olvassa el a Azure-alkalmazás konfigurációs erőforrásokhoz való hozzáférés hitelesítése a Microsoft Entra-azonosítóval és az Azure-erőforrások felügyelt identitásaival.

Az engedélyezési lépéshez egy vagy több Azure-szerepkört kell hozzárendelni a biztonsági taghoz. Azure-alkalmazás Konfiguráció azure-szerepköröket biztosít, amelyek az alkalmazáskonfigurációs erőforrások engedélykészleteit foglalják magukban. A rendszerbiztonsági taghoz rendelt szerepkörök határozzák meg a rendszerbiztonsági tagnak biztosított engedélyeket. További információ az Azure-szerepkörökről: Azure beépített szerepkörök Azure-alkalmazás Konfigurációhoz.

Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz

A Microsoft Entra az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyezi az erőforrások védelmére vonatkozó hozzáférési jogosultságokat.

Ha egy Azure-szerepkör egy Microsoft Entra biztonsági taghoz van rendelve, az Azure hozzáférést biztosít ezekhez az erőforrásokhoz az adott biztonsági tag számára. Az Access hatóköre az alkalmazáskonfigurációs erőforrásra terjed ki. A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz.

Beépített Azure-szerepkörök Azure-alkalmazás konfigurációhoz

Az Azure az alábbi beépített Azure-szerepköröket biztosítja az alkalmazáskonfigurációs adatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID használatával:

  • Alkalmazáskonfigurációs adatok tulajdonosa: Ezzel a szerepkörnel olvasási/írási/törlési hozzáférést biztosíthat az alkalmazáskonfigurációs adatokhoz. Ez a szerepkör nem biztosít hozzáférést az alkalmazáskonfigurációs erőforráshoz.
  • Alkalmazáskonfigurációs adatolvasó: Ezzel a szerepkörnel olvasási hozzáférést biztosíthat az alkalmazáskonfigurációs adatokhoz. Ez a szerepkör nem biztosít hozzáférést az alkalmazáskonfigurációs erőforráshoz.
  • Közreműködő vagy tulajdonos: Ezzel a szerepkörnel kezelheti az alkalmazáskonfigurációs erőforrást. Hozzáférést biztosít az erőforrás hozzáférési kulcsaihoz. Bár az alkalmazáskonfigurációs adatok hozzáférési kulcsokkal érhetők el, ez a szerepkör nem biztosít közvetlen hozzáférést az adatokhoz a Microsoft Entra ID használatával. Ez a szerepkör akkor szükséges, ha arm-sablonon, Bicepen vagy Terraformon keresztül fér hozzá az alkalmazáskonfigurációs adatokhoz az üzembe helyezés során. További információ: üzembe helyezés.
  • Olvasó: Ezzel a szerepkörnel olvasási hozzáférést biztosíthat az alkalmazáskonfigurációs erőforráshoz. Ez a szerepkör nem biztosít hozzáférést az erőforrás hozzáférési kulcsaihoz, sem az alkalmazáskonfigurációban tárolt adatokhoz.

Feljegyzés

Miután egy identitáshoz szerepkör-hozzárendelést végzett, legfeljebb 15 percet kell engedélyeznie az engedély propagálására, mielőtt hozzáfér az alkalmazáskonfigurációban tárolt adatokhoz az identitás használatával.

Következő lépések

További információ a felügyelt identitások alkalmazáskonfigurációs szolgáltatás felügyeletéről.