使用 Microsoft Entra ID 授予访问 Azure 应用程序配置的权限
除了使用基于哈希的消息验证码 (HMAC),Azure 应用程序配置还支持使用 Microsoft Entra ID 授权对应用程序配置实例的请求。 Microsoft Entra ID 允许使用 Azure 基于角色的访问控制 (Azure RBAC) 向安全主体授予权限。 安全主体可以是用户、托管标识或应用程序服务主体。 若要了解有关角色和角色分配的详细信息,请参阅了解不同的角色。
概述
安全主体发出的用于访问应用程序配置资源的请求必须获得授权。 如果使用 Microsoft Entra ID,访问资源流程需要两步:
- 对安全主体的标识进行身份验证,并返回 OAuth 2.0 令牌。 请求令牌的资源名称为
https://login.chinacloudapi.cn/{tenantID}
,其中{tenantID}
与服务主体所属的 Microsoft Entra 租户 ID 匹配。 - 令牌作为请求的一部分传递到应用程序配置服务,以授予对指定资源的访问权限。
身份验证步骤要求应用程序请求在运行时包含 OAuth 2.0 访问令牌。 如果应用程序在 Azure 实体(例如 Azure Functions 应用、Azure Web 应用或 Azure VM)中运行,则它可以使用托管标识来访问资源。 若要了解如何对托管标识向 Azure 应用程序配置发出的请求进行身份验证,请参阅使用 Microsoft Entra ID 和 Azure 资源的托管标识对访问 Azure 应用配置资源进行身份验证。
授权步骤要求将一个或多个 Azure 角色分配给安全主体。 Azure 应用程序配置提供了 Azure 角色,这些角色包含应用程序配置资源的权限集。 分配给安全主体的角色确定提供给主体的权限。 有关 Azure 角色的详细信息,请参阅 Azure 应用程序配置的 Azure 内置角色。
分配 Azure 角色以授予访问权限
Microsoft Entra ID 通过 Azure 基于角色的访问控制 (Azure RBAC)授权访问受保护的资源。
将 Azure 角色分配到 Microsoft Entra 安全主体后,Azure 会向该安全主体授予对这些资源的访问权限。 访问范围仅限于应用程序配置资源。 Microsoft Entra 安全主体可以是用户、组、应用程序服务主体,也可以是 Azure 资源的托管标识。
Azure 应用程序配置的 Azure 内置角色
Azure 提供下列 Azure 内置角色,用于使用 Microsoft Entra ID 授予对应用程序配置数据的访问权限:
- 应用程序配置数据所有者:使用此角色授予对应用程序配置数据的读取/写入/删除访问权限。 此角色不会授予对应用配置资源的访问权限。
- 应用程序配置数据读取者:使用此角色授予对应用程序配置数据的读取访问权限。 此角色不会授予对应用配置资源的访问权限。
- 参与者或所有者:使用此角色管理应用配置资源。 它负责授予对资源的访问密钥的访问权限。 虽然可以使用访问密钥访问应用程序配置数据,但此角色不会使用 Microsoft Entra ID 授予对数据的直接访问权限。 如果在部署期间通过 ARM 模板、Bicep 或 Terraform 访问应用程序配置数据,则需要此角色。 有关详细信息,请参阅部署。
- 读者:使用此角色授予对应用程序配置资源的读取访问权限。 此角色不会授予对资源的访问密钥的访问权限,也不会授予对存储在应用配置中的数据的访问权限。
注意
为不同标识分配角色后,在使用此标识访问存储在应用配置中的数据之前,该权限的传播时长上限为 15 分钟。
后续步骤
了解有关使用托管标识管理应用程序配置服务的详细信息。