使用 Microsoft Entra ID 授予访问 Azure 应用程序配置的权限

除了使用基于哈希的消息验证码 (HMAC)，Azure 应用程序配置还支持使用 Microsoft Entra ID 授权对应用程序配置实例的请求。 Microsoft Entra ID 允许使用 Azure 基于角色的访问控制 (Azure RBAC) 向安全主体授予权限。 安全主体可以是用户、托管标识或应用程序服务主体。 若要了解有关角色和角色分配的详细信息，请参阅了解不同的角色。

概述

安全主体发出的用于访问应用程序配置资源的请求必须获得授权。 如果使用 Microsoft Entra ID，访问资源流程需要两步：

1. 对安全主体的标识进行身份验证，并返回 OAuth 2.0 令牌。 请求令牌的资源名称为https://login.chinacloudapi.cn/{tenantID}，其中{tenantID}与服务主体所属的 Microsoft Entra 租户 ID 匹配。
2. 令牌作为请求的一部分传递到应用程序配置服务，以授予对指定资源的访问权限。

身份验证步骤要求应用程序请求在运行时包含 OAuth 2.0 访问令牌。 如果应用程序在 Azure 实体（例如 Azure Functions 应用、Azure Web 应用或 Azure VM）中运行，则它可以使用托管标识来访问资源。 若要了解如何对托管标识向 Azure 应用程序配置发出的请求进行身份验证，请参阅使用 Microsoft Entra ID 和 Azure 资源的托管标识对访问 Azure 应用配置资源进行身份验证。

授权步骤要求将一个或多个 Azure 角色分配给安全主体。 Azure 应用程序配置提供了 Azure 角色，这些角色包含应用程序配置资源的权限集。 分配给安全主体的角色确定提供给主体的权限。 有关 Azure 角色的详细信息，请参阅 Azure 应用程序配置的 Azure 内置角色。

分配 Azure 角色以授予访问权限

Microsoft Entra ID 通过 Azure 基于角色的访问控制 (Azure RBAC)授权访问受保护的资源。

将 Azure 角色分配到 Microsoft Entra 安全主体后，Azure 会向该安全主体授予对这些资源的访问权限。 访问范围仅限于应用程序配置资源。 Microsoft Entra 安全主体可以是用户、组、应用程序服务主体，也可以是 Azure 资源的托管标识。

Azure 应用程序配置的 Azure 内置角色

Azure 提供下列 Azure 内置角色，用于使用 Microsoft Entra ID 授予对应用程序配置数据的访问权限：

• 应用程序配置数据所有者：使用此角色授予对应用程序配置数据的读取/写入/删除访问权限。 这不会授予对应用程序配置资源的访问权限。
• 应用程序配置数据读取者：使用此角色授予对应用程序配置数据的读取访问权限。 这不会授予对应用程序配置资源的访问权限。
• 参与者或所有者：使用此角色管理应用配置资源。 它负责授予对资源的访问密钥的访问权限。 虽然可以使用访问密钥访问应用程序配置数据，但此角色不会使用 Microsoft Entra ID 授予对数据的直接访问权限。 如果在部署期间通过 ARM 模板、Bicep 或 Terraform 访问应用程序配置数据，则需要此角色。 有关详细信息，请参阅授权。
• 读者：使用此角色授予对应用程序配置资源的读取访问权限。 这不会授予对资源的访问密钥的访问权限，也不会授予对存储在应用程序配置中的数据的访问权限。

后续步骤

了解有关使用托管标识管理应用程序配置服务的详细信息。