Auktorisera åtkomst till Azure App Configuration med hjälp av Microsoft Entra-ID

  • Artikel

Förutom att använda Hash-baserad kod för meddelandeautentisering (HMAC) stöder Azure App Configuration användning av Microsoft Entra-ID för att auktorisera begäranden till App Configuration-instanser. Med Microsoft Entra-ID kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till ett säkerhetsobjekt. Ett säkerhetsobjekt kan vara en användare, en hanterad identitet eller ett huvudnamn för programtjänsten. Mer information om roller och rolltilldelningar finns i Förstå olika roller.

Översikt

Begäranden som görs av ett säkerhetsobjekt för att få åtkomst till en appkonfigurationsresurs måste godkännas. Med Microsoft Entra-ID är åtkomst till en resurs en tvåstegsprocess:

  1. Säkerhetsobjektets identitet autentiseras och en OAuth 2.0-token returneras. Resursnamnet för att begära en token är https://login.microsoftonline.com/{tenantID} där {tenantID} matchar Microsoft Entra-klient-ID:t som tjänstens huvudnamn tillhör.
  2. Token skickas som en del av en begäran till App Configuration-tjänsten för att auktorisera åtkomst till den angivna resursen.

Autentiseringssteget kräver att en programbegäran innehåller en OAuth 2.0-åtkomsttoken vid körning. Om ett program körs inom en Azure-entitet, till exempel en Azure Functions-app, en Azure-webbapp eller en virtuell Azure-dator, kan det använda en hanterad identitet för att komma åt resurserna. Information om hur du autentiserar begäranden som görs av en hanterad identitet till Azure App Configuration finns i Autentisera åtkomst till Azure App Configuration-resurser med Microsoft Entra-ID och hanterade identiteter för Azure-resurser.

Auktoriseringssteget kräver att en eller flera Azure-roller tilldelas säkerhetsobjektet. Azure App Configuration tillhandahåller Azure-roller som omfattar uppsättningar med behörigheter för App Configuration-resurser. De roller som tilldelas ett säkerhetsobjekt avgör vilka behörigheter som ges till huvudkontot. Mer information om Azure-roller finns i Inbyggda Azure-roller för Azure App Configuration.

Tilldela Azure-roller för åtkomsträttigheter

Microsoft Entra auktoriserar åtkomsträttigheter till skyddade resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC).

När en Azure-roll tilldelas ett Microsoft Entra-säkerhetsobjekt ger Azure åtkomst till dessa resurser för det säkerhetsobjektet. Åtkomsten är begränsad till appkonfigurationsresursen. Ett Microsoft Entra-säkerhetsobjekt kan vara en användare, en grupp, ett huvudnamn för programtjänsten eller en hanterad identitet för Azure-resurser.

Inbyggda Azure-roller för Azure App Configuration

Azure tillhandahåller följande inbyggda Azure-roller för att auktorisera åtkomst till appkonfigurationsdata med hjälp av Microsoft Entra-ID:

  • Appkonfigurationsdataägare: Använd den här rollen för att ge läs-/skriv-/borttagningsåtkomst till appkonfigurationsdata. Den här rollen beviljar inte åtkomst till appkonfigurationsresursen.
  • Dataläsare för appkonfiguration: Använd den här rollen för att ge läsbehörighet till appkonfigurationsdata. Den här rollen beviljar inte åtkomst till appkonfigurationsresursen.
  • Deltagare eller ägare: Använd den här rollen för att hantera appkonfigurationsresursen. Den ger åtkomst till resursens åtkomstnycklar. Även om appkonfigurationsdata kan nås med hjälp av åtkomstnycklar, ger den här rollen inte direkt åtkomst till data med hjälp av Microsoft Entra-ID. Den här rollen krävs om du kommer åt appkonfigurationsdata via ARM-mallen, Bicep eller Terraform under distributionen. Mer information finns i distributionen.
  • Läsare: Använd den här rollen för att ge läsbehörighet till appkonfigurationsresursen. Den här rollen beviljar inte åtkomst till resursens åtkomstnycklar eller till data som lagras i App Configuration.

Kommentar

När en rolltilldelning har gjorts för en identitet kan du tillåta upp till 15 minuter för behörigheten att spridas innan du får åtkomst till data som lagras i App Configuration med hjälp av den här identiteten.

Nästa steg

Läs mer om hur du använder hanterade identiteter för att administrera appkonfigurationstjänsten.