Autorizzare con Microsoft Entra ID

Archiviazione di Azure offre l'integrazione con Microsoft Entra ID per l'autorizzazione basata sull'identità delle richieste ai servizi BLOB, file, code e tabelle. Con Microsoft Entra ID è possibile usare il controllo degli accessi in base al ruolo per concedere l'accesso a BLOB, file, code e risorse di tabella a utenti, gruppi o applicazioni. È possibile concedere autorizzazioni con ambito al livello di un singolo contenitore, condivisione, coda o tabella.

Per altre informazioni sull'integrazione di Microsoft Entra ID in Archiviazione di Azure, vedere Autorizzare l'accesso a BLOB e code di Azure usando Microsoft Entra ID.

Per altre informazioni sui vantaggi dell'uso di Microsoft Entra ID nell'applicazione, vedere Integrazione con Microsoft Identity Platform.

Usare i token di accesso OAuth per l'autenticazione

Archiviazione di Azure accetta token di accesso OAuth 2.0 dal tenant di Microsoft Entra associato alla sottoscrizione che contiene l'account di archiviazione. Archiviazione di Azure accetta i token di accesso per:

• Utenti e gruppi
• Entità servizio
• Identità gestite per le risorse di Azure
• Applicazioni che usano autorizzazioni delegate dagli utenti

Archiviazione di Azure espone un singolo ambito di delega denominato user_impersonation che consente alle applicazioni di eseguire qualsiasi azione consentita dall'utente.

Per richiedere token per Archiviazione di Azure, specificare il valore https://storage.azure.com/ per l'ID risorsa. Per altre informazioni sull'ID risorsa, vedere Ambiti, autorizzazioni e consenso di Microsoft Identity Platform.

Per altre informazioni sulla richiesta di token di accesso da Microsoft Entra ID per utenti e entità servizio, vedere Flussi di autenticazione e scenari di applicazione.

Per altre informazioni sulla richiesta di token di accesso per le risorse configurate con identità gestite, vedere Come usare le identità gestite per le risorse di Azure in una macchina virtuale di Azure per acquisire un token di accesso.

Chiamare operazioni di archiviazione con token OAuth

Per chiamare operazioni del servizio BLOB, file, code e tabelle usando token di accesso OAuth, passare il token di accesso nell'intestazione di autorizzazione usando lo schema Bearer e specificare una versione del servizio 2017-11-09 (2022-11-02 per le operazioni sulla risorsa File e sulla risorsa Directory o 2024-11-04 per le operazioni sulla risorsa FileService e sulla risorsa FileShare ) o versione successiva, come illustrato nell'esempio seguente:

Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate

Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!

Bearer Challenge

La richiesta di connessione fa parte del protocollo OAuth RFC 6750 e viene usata per l'individuazione delle autorità. Per le richieste anonime al servizio BLOB o per le richieste effettuate con un token di connessione OAuth non valido, il server restituirà il codice di stato 401 (non autorizzato) con informazioni sul provider di identità e sulle risorse. Fare riferimento al collegamento per informazioni su come usare questi valori durante l'autenticazione con Microsoft Entra ID.

I servizi BLOB e code di Archiviazione di Azure restituiscono una richiesta di connessione per la versione 2019-12-12 e successive. Il servizio tabelle di Archiviazione di Azure restituisce una richiesta di connessione per la versione 2020-12-06 e successive. Azure Data Lake Storage Gen2 restituisce una sfida di connessione per la versione 2017-11-09 e successive. Il servizio File di Azure restituisce una richiesta di connessione dalla versione 2022-11-02 e successive.

Risposte alle richieste di lettura anonime

Quando l'archiviazione BLOB riceve una richiesta anonima, tale richiesta avrà esito positivo se tutte le condizioni seguenti sono vere:

• L'accesso pubblico anonimo è consentito per l'account di archiviazione.
• Il contenitore è configurato per consentire l'accesso pubblico anonimo.
• La richiesta è per l'accesso in lettura.

Se una di queste condizioni non è vera, la richiesta avrà esito negativo. Il codice di risposta in caso di errore dipende dal fatto che la richiesta anonima sia stata effettuata con una versione del servizio che supporta la richiesta di connessione. La sfida di connessione è supportata con le versioni del servizio 2019-12-12 e successive:

• Se la richiesta anonima è stata effettuata con una versione del servizio che supporta la richiesta di connessione, il servizio restituisce il codice di errore 401 (non autorizzato).
• Se la richiesta anonima è stata effettuata con una versione del servizio che non supporta la richiesta di connessione e l'accesso pubblico anonimo non è consentito per l'account di archiviazione, il servizio restituisce il codice di errore 409 (Conflitto).
• Se la richiesta anonima è stata effettuata con una versione del servizio che non supporta la richiesta di connessione e l'accesso pubblico anonimo è consentito per l'account di archiviazione, il servizio restituisce il codice di errore 404 (Non trovato).

Per altre informazioni sulla richiesta del token di connessione, vedere Richiesta del token di connessione.

Risposta di esempio alla richiesta di connessione

Di seguito è riportato un esempio di risposta di richiesta di connessione quando la richiesta client non include il token di connessione nella richiesta BLOB di download anonimo:

Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net

Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com

<?xml version="1.0" encoding="utf-8"?>
<Error>
    <Code>NoAuthenticationInformation</Code>
    <Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>

Gestire i diritti di accesso con il controllo degli accessi in base al ruolo

Microsoft Entra ID gestisce l'autorizzazione dell'accesso alle risorse protette tramite il controllo degli accessi in base al ruolo. Usando il controllo degli accessi in base al ruolo, è possibile assegnare ruoli a utenti, gruppi o entità servizio. Ogni ruolo include un set di autorizzazioni per una risorsa. Una volta assegnato il ruolo all'utente, al gruppo o all'entità servizio, ha accesso a tale risorsa. È possibile assegnare diritti di accesso usando il portale di Azure, gli strumenti da riga di comando di Azure e le API di gestione di Azure. Per altre informazioni sul controllo degli accessi in base al ruolo, vedere Introduzione al controllo di accesso Role-Based.

Per Archiviazione di Azure è possibile concedere l'accesso ai dati in un contenitore o in una coda nell'account di archiviazione. Archiviazione di Azure offre questi ruoli predefiniti di controllo degli accessi in base al ruolo da usare con Microsoft Entra ID:

• proprietario dei dati dei BLOB di archiviazione
• Collaboratore dati di archiviazione BLOB
• Lettore di dati Blob di archiviazione
• Delegato del BLOB di archiviazione
• Collaboratore ai dati della coda di archiviazione
• lettore di dati della coda di archiviazione
• Ruolo con autorizzazioni di elaborazione per i messaggi sui dati della coda di archiviazione
• Mittente dei messaggi sui dati della coda di archiviazione
• Lettore dei dati della tabella di archiviazione
• Collaboratore ai dati della tabella di archiviazione
• Collaboratore privilegiato per i dati dei file di archiviazione
• Lettore privilegiato per i dati dei file di archiviazione

Per altre informazioni sulla definizione dei ruoli predefiniti per Archiviazione di Azure, vedere Informazioni sulle definizioni dei ruoli per le risorse di Azure.

È anche possibile definire ruoli personalizzati da usare con l'archiviazione BLOB e le code di Azure. Per altre informazioni, vedere Creare ruoli personalizzati per Azure Role-Based Controllo di accesso.

Autorizzazioni per chiamare le operazioni dei dati

Le tabelle seguenti descrivono le autorizzazioni necessarie per un utente, un gruppo, un'identità gestita o un'entità servizio di Microsoft Entra per chiamare operazioni specifiche di Archiviazione di Azure. Per consentire a un client di chiamare una determinata operazione, assicurarsi che il ruolo controllo degli accessi in base al ruolo assegnato del client offra autorizzazioni sufficienti per tale operazione.

Autorizzazioni per le operazioni del servizio BLOB

Autorizzazioni per le operazioni del servizio di accodamento

Autorizzazioni per le operazioni del servizio tabelle

Autorizzazioni per le operazioni del servizio file

Vedere anche

• Autorizzare le richieste ad Archiviazione di Azure