共用方式為

使用 Microsoft Entra 識別碼存取 Azure 應用程式組態

  • 發行項

Azure 應用程式組態 支援使用 Microsoft Entra 識別符來授權要求 應用程式組態 存放區。 透過Microsoft Entra 標識符,您可以利用 Azure 角色型存取控制 (Azure RBAC) 將許可權授與安全性主體,這可以是用戶主體、 受控識別或服務 主體

概觀

使用 Microsoft Entra 標識符存取 應用程式組態 存放區牽涉到兩個步驟:

  1. 驗證:從 Microsoft Entra ID 取得 應用程式組態 的安全性主體令牌。 如需詳細資訊,請參閱 應用程式組態 中的 Microsoft Entra 驗證

  2. 授權:將令牌當做要求傳遞至 應用程式組態 存放區。 若要授權存取指定的 應用程式組態 存放區,安全性主體必須事先指派適當的角色。 如需詳細資訊,請參閱 Microsoft 應用程式組態 中的 Entra 授權

Azure 應用程式組態的 Azure 內建角色

Azure 提供下列內建角色,以使用 Microsoft Entra 標識符來授權存取 應用程式組態:

資料平面存取

數據平面作業的要求會傳送至 應用程式組態 存放區的端點。 這些要求與 應用程式組態 數據有關。

  • 應用程式組態 數據擁有者:使用此角色來提供 應用程式組態 數據的讀取、寫入和刪除存取權。 此角色不會授與 應用程式組態 資源的存取權。
  • 應用程式組態資料讀取器:使用此角色以提供應用程式組態資料的讀取存取。 此角色不會將存取權授與 應用程式組態 資源。

控制平面存取

控制平面作業的所有要求都會傳送至 Azure Resource Manager URL。 這些要求與 應用程式組態 資源有關。

  • 應用程式組態 參與者:使用此角色僅管理 應用程式組態 資源。 此角色不會授與管理其他 Azure 資源的存取權。 該角色會授與資源的存取金鑰存取權。 雖然可以使用存取金鑰存取 應用程式組態 數據,但此角色不會使用 Microsoft Entra ID 授與數據的直接存取權。 它會授與復原已刪除 應用程式組態 資源的存取權,但不會加以清除。 若要清除已刪除的資源 應用程式組態,請使用參與者角色。
  • 應用程式組態 讀者:使用此角色來只讀 應用程式組態 資源。 此角色不會授與讀取其他 Azure 資源的存取權。 它不會將存取權授與資源的存取密鑰,也不會授與儲存在 應用程式組態 中的數據。
  • 參與者擁有者:使用此角色來管理 應用程式組態 資源,同時也能夠管理其他 Azure 資源。 此角色是具有特殊許可權的系統管理員角色。 該角色會授與資源的存取金鑰存取權。 雖然可以使用存取金鑰存取 應用程式組態 數據,但此角色不會使用 Microsoft Entra ID 來授與數據的直接存取權。
  • 讀者:使用此角色來讀取 應用程式組態 資源,同時能夠讀取其他 Azure 資源。 此角色不會將存取權授與資源的存取密鑰,也不會授與儲存在 應用程式組態 中的數據。

注意

為身分識別指派角色之後,請允許最多 15 分鐘的權限傳播,然後再使用此身分識別存取儲存在應用程式組態中的資料。

使用令牌認證進行驗證

若要讓應用程式能夠使用 Microsoft Entra ID 進行驗證,Azure 身分識別連結庫支援各種令牌認證,以進行Microsoft Entra ID 驗證。 例如,當您的應用程式在 Kubernetes 上執行時,或在 Azure Functions 等 Azure 服務中部署應用程式時,您可以選擇 Visual Studio 認證、工作負載身分識別認證。

使用 DefaultAzureCredential

DefaultAzureCredential是預先設定的令牌認證鏈結,可自動嘗試最常見驗證方法的已排序順序。 DefaultAzureCredential使用 可讓您在本機開發和 Azure 環境中保留相同的程式代碼。 不過,請務必知道每個環境中正在使用哪一個認證,因為您需要授與適當的角色,授權才能運作。 例如,當您預期 DefaultAzureCredential 會在本機開發期間回復到您的使用者身分識別時,授權您自己的帳戶。 同樣地,在 Azure Functions 中啟用受控識別,並在預期 DefaultAzureCredential 當您的函式應用程式在 Azure 中執行時,將它指派回 ManagedIdentityCredential 所需的角色。

指派 應用程式組態 數據角色

無論您使用哪一種認證,您都必須為其指派適當的角色,才能存取您的 應用程式組態 存放區。 如果您的應用程式只需要從 應用程式組態 存放區讀取數據,請將 應用程式組態 數據讀取者角色指派給它。 如果您的應用程式也需要將數據寫入 應用程式組態 存放區,請將 應用程式組態 數據擁有者角色指派給它

請遵循下列步驟,將 應用程式組態 數據角色指派給您的認證。

  1. 在 Azure 入口網站 中,流覽至您的 應用程式組態 存放區,然後選取 [存取控制][IAM]。

  2. 選取 [新增] -> [新增角色指派]

    如果您沒有指派角色的許可權,將會停用 [ 新增角色指派 ] 選項。 只有擁有者使用者存取系統管理員角色的使用者才能進行角色指派。

  3. 在 [角色] 索引標籤上,選取 [應用程式組態 數據讀取者角色],或視需要選取另一個 應用程式組態 角色),然後選取 [下一步]。

  4. 在 [ 成員] 索引標籤上,依照精靈選取您要授與存取權的認證,然後選取 [ 下一步]。

  5. 最後,在 [ 檢閱 + 指派 ] 索引標籤上,選取 [ 檢閱 + 指派 ] 以指派角色。

下一步

瞭解如何使用受控識別來存取您的 應用程式組態 存放區