Autorizzare l'accesso alla configurazione di app Azure usando Microsoft Entra ID

Oltre a usare HMAC (Hash-based Message Authentication Code), app Azure Configuration supporta l'uso di Microsoft Entra ID per autorizzare le richieste alle istanze di Configurazione app. Microsoft Entra ID consente di usare il controllo degli accessi in base al ruolo di Azure per concedere le autorizzazioni a un'entità di sicurezza. Un'entità di sicurezza può essere un utente, un'identità gestita o un'entità servizio dell'applicazione. Per altre informazioni sui ruoli e sulle assegnazioni di ruolo, vedere Informazioni sui diversi ruoli.

Panoramica

Le richieste effettuate da un'entità di sicurezza per accedere a una risorsa Configurazione app devono essere autorizzate. Con Microsoft Entra ID, l'accesso a una risorsa è un processo in due passaggi:

1. L'identità dell'entità di sicurezza viene autenticata e viene restituito un token OAuth 2.0. Il nome della risorsa per richiedere un token corrisponde https://login.microsoftonline.com/{tenantID}{tenantID} all'ID tenant di Microsoft Entra a cui appartiene l'entità servizio.
2. Il token viene passato come parte di una richiesta al servizio Configurazione app per autorizzare l'accesso alla risorsa specificata.

Il passaggio di autenticazione richiede che una richiesta dell'applicazione contenga un token di accesso OAuth 2.0 in fase di esecuzione. Se un'applicazione è in esecuzione in un'entità di Azure, ad esempio un'app Funzioni di Azure, un'app Web di Azure o una macchina virtuale di Azure, può usare un'identità gestita per accedere alle risorse. Per informazioni su come autenticare le richieste effettuate da un'identità gestita per app Azure Configurazione, vedere Autenticare l'accesso alle risorse di configurazione app Azure con l'ID Microsoft Entra e le identità gestite per le risorse di Azure.

Il passaggio di autorizzazione richiede l'assegnazione di uno o più ruoli di Azure all'entità di sicurezza. app Azure Configurazione fornisce ruoli di Azure che includono set di autorizzazioni per le risorse di Configurazione app. I ruoli assegnati a un'entità di sicurezza determinano le autorizzazioni fornite all'entità. Per altre informazioni sui ruoli di Azure, vedere Ruoli predefiniti di Azure per app Azure Configurazione.

Assegnare ruoli di Azure per i diritti di accesso

Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure.

Quando un ruolo di Azure viene assegnato a un'entità di sicurezza Microsoft Entra, Azure concede l'accesso a tali risorse per tale entità di sicurezza. L'accesso è limitato alla risorsa di Configurazione app. Un'entità di sicurezza di Microsoft Entra può essere un utente, un gruppo, un'entità servizio dell'applicazione o un'identità gestita per le risorse di Azure.

Ruoli predefiniti di Azure per la configurazione di app Azure

Azure offre i ruoli predefiniti di Azure seguenti per autorizzare l'accesso ai dati Configurazione app usando Microsoft Entra ID:

• Configurazione app Proprietario dati: usare questo ruolo per concedere l'accesso in lettura/scrittura/eliminazione ai dati Configurazione app. Questo ruolo non concede l'accesso alla risorsa Configurazione app.
• Configurazione app lettore dati: usare questo ruolo per concedere l'accesso in lettura ai dati Configurazione app. Questo ruolo non concede l'accesso alla risorsa Configurazione app.
• Collaboratore o Proprietario: usare questo ruolo per gestire la risorsa Configurazione app. Concede l'accesso alle chiavi di accesso della risorsa. Anche se è possibile accedere ai dati Configurazione app usando le chiavi di accesso, questo ruolo non concede l'accesso diretto ai dati usando Microsoft Entra ID. Questo ruolo è obbligatorio se si accede ai dati Configurazione app tramite il modello di Resource Manager, Bicep o Terraform durante la distribuzione. Per altre informazioni, vedere Distribuzione.
• Lettore: usare questo ruolo per concedere l'accesso in lettura alla risorsa Configurazione app. Questo ruolo non concede l'accesso alle chiavi di accesso della risorsa né ai dati archiviati in Configurazione app.

Nota

Dopo aver creato un'assegnazione di ruolo per un'identità, attendere fino a 15 minuti affinché l'autorizzazione venga propagata prima di accedere ai dati archiviati in Configurazione app usando questa identità.

Passaggi successivi

Altre informazioni sull'uso delle identità gestite per amministrare il servizio Configurazione app.