Доступ к Конфигурации приложений Azure с помощью Microsoft Entra ID

Конфигурация приложений Azure поддерживает авторизацию запросов к хранилищам Конфигурации приложений с использованием идентификатора Microsoft Entra. С помощью идентификатора Microsoft Entra можно использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъектам безопасности, которые могут быть субъектами-пользователями, управляемыми удостоверениями или субъектами-службами.

Обзор

Доступ к хранилищу конфигурации приложений с помощью средства Microsoft Entra ID включает два шага.

Аутентификация: Получение токена субъекта безопасности из Microsoft Entra ID для Конфигурации приложений. Дополнительные сведения см. в разделе аутентификация Microsoft Entra в конфигурации приложений.
Авторизация: передайте токен в составе запроса в хранилище конфигурации приложений. Чтобы авторизовать доступ к указанному хранилищу конфигурации приложений, учетной записи безопасности необходимо заранее присвоить соответствующие роли. Дополнительные сведения см. в разделе Microsoft Entra Authorization в Конфигурация приложения.

Встроенные роли Azure для Конфигурации приложений

Azure предоставляет следующие предустановленные роли для авторизации доступа к Конфигурации приложений с помощью Microsoft Entra ID:

Доступ к плоскости данных

Запросы на операции плоскости данных отправляются в конечную точку вашего хранилища конфигурации приложений. Эти запросы относятся к данным конфигурации приложений.

Владелец данных конфигурации приложения: используйте эту роль для предоставления доступа к данным конфигурации приложения на чтение, запись и удаление. Эта роль не предоставляет доступ к ресурсу Конфигурация приложений.
Средство чтения данных конфигурации приложений: используйте эту роль, чтобы предоставить доступ на чтение к данным конфигурации приложений. Эта роль не предоставляет доступ к ресурсу Конфигурация приложений.

Доступ к плоскости управления

Все запросы на операции плоскости управления отправляются по URL-адресу Azure Resource Manager. Эти запросы относятся к ресурсу Конфигурация приложений.

Участник конфигурации приложений. Используйте эту роль для управления только ресурсом конфигурации приложений. Эта роль не предоставляет доступ к управлению другими ресурсами Azure. Она обеспечивает доступ к ключам доступа ресурса. Хотя доступ к данным Конфигурация приложений можно получить с помощью ключей доступа, эта роль не предоставляет прямой доступ к данным с помощью идентификатора Microsoft Entra. Он предоставляет доступ для восстановления удаленного Конфигурация приложений ресурса, но не для их очистки. Чтобы очистить удаленные Конфигурация приложений ресурсы, используйте роль участника.
Чтение конфигурации приложений: используйте эту роль для чтения только ресурса конфигурации приложений. Эта роль не предоставляет доступ для чтения других ресурсов Azure. Он не предоставляет доступ к ключам доступа ресурса, а также к данным, хранящимся в Конфигурация приложений.
Участник или владелец. Используйте эту роль для управления ресурсом Конфигурация приложений, а также для управления другими ресурсами Azure. Эта роль является ролью привилегированного администратора. Она обеспечивает доступ к ключам доступа ресурса. Хотя доступ к данным Конфигурация приложений можно получить с помощью ключей доступа, эта роль не предоставляет прямой доступ к данным с помощью идентификатора Microsoft Entra.
Пользователь чтения: используйте эту роль для чтения ресурса Конфигурации приложений, а также для чтения других ресурсов Azure. Эта роль не предоставляет доступ к ключам доступа ресурса, а также к данным, хранящимся в Конфигурация приложений.

Примечание.

После назначения роли удостоверению подождите до 15 минут, чтобы разрешения распространились, прежде чем получать доступ к данным, хранящимся в конфигурации приложения, с использованием этого удостоверения.

Аутентификация с помощью токенов доступа

Чтобы ваше приложение могло выполнять аутентификацию с помощью идентификатора Microsoft Entra ID, библиотека Azure Identity поддерживает различные токены для аутентификации в Microsoft Entra ID. Например, при разработке приложения в Visual Studio вы можете выбрать учетные данные Visual Studio; использовать учетные данные удостоверения рабочего нагрузки при запуске приложения в Kubernetes; или учётные данные управляемой идентификации при развертывании приложения в службах Azure, таких как функции Azure.

Использование DefaultAzureCredential

Это DefaultAzureCredential предварительно настроенная цепочка учетных данных токена, которая автоматически пытается упорядоченную последовательность наиболее распространенных методов проверки подлинности. Использование DefaultAzureCredential позволяет сохранить один и тот же код как в средах локальной разработки, так и в средах Azure. Однако важно знать, какие учетные данные используются в каждой среде, так как необходимо предоставить соответствующие роли для авторизации. Например, авторизуйте собственную учетную запись, если ожидается, что DefaultAzureCredential вернется к идентификации пользователя во время локальной разработки. Аналогично, включите управляемое удостоверение в Azure Functions и назначьте ему необходимую роль, ожидая, что DefaultAzureCredential будет использоваться по умолчанию вместо ManagedIdentityCredential при запуске вашего приложения функции в Azure.

Назначьте роли для данных конфигурации приложения

Независимо от того, какие учетные данные вы используете, необходимо назначить ему соответствующие роли, прежде чем он сможет получить доступ к хранилищу Конфигурация приложений. Если приложению нужно только считывать данные из хранилища Конфигурация приложений, назначьте ей роль чтения данных Конфигурация приложений. Если вашему приложению также необходимо записывать данные в хранилище App Configuration, назначьте ему роль владельца данных App Configuration.

Выполните следующие действия, чтобы назначить роли конфигурации приложения для ваших учетных данных.

В портал Azure перейдите к хранилищу Конфигурация приложений и выберите элемент управления доступом (IAM).
Выберите Добавить —>Добавить назначение ролей.

Если у вас нет разрешения на назначение ролей, параметр "Добавить назначение ролей" будет отключен. Только пользователи с ролями "Владелец " или "Администратор доступа пользователей" могут назначать роли.
На вкладке "Роль" выберите роль Читатель данных конфигурации приложения (или другую соответствующую роль конфигурации приложения) и нажмите "Далее".
На вкладке "Участники" следуйте указаниям мастера, чтобы выбрать учетные данные, для которого вы предоставляете доступ, а затем нажмите "Далее".
Наконец, на вкладке "Рецензирование и назначение " выберите "Рецензирование" и " Назначить " для назначения роли.

Аудитория для аутентификации Entra ID

Аудитория проверки подлинности Идентификатора Microsoft Entra определяет, кто может получить доступ к определенному ресурсу. Он определяет целевого получателя маркера безопасности. Конфигурация приложений поддерживает разные аудитории для разных облаков.

Аудитория настройки приложения

Для конфигурации приложений Azure в глобальном облаке Azure используйте следующую аудиторию:

https://appconfig.azure.com

Для конфигурации приложений Azure в национальных облаках используйте соответствующую аудиторию, указанную в таблице ниже:

Национальное облако	Публика
Azure Government	`https://appconfig.azure.us`
Microsoft Azure под управлением 21Vianet	`https://appconfig.azure.cn`
Bleu	`https://appconfig.sovcloud-api.fr`

Настройка аудитории для конкретного облака

При использовании Entra ID для аутентификации с помощью Azure App Configuration в облаках, отличных от облака Azure, Azure Government и Microsoft Azure, управляемых 21Vianet, необходимо настроить соответствующую аудиторию Entra ID.

Подсказка

Если при подключении к конфигурации приложений Azure возникает следующая ошибка, обычно это связано с тем, что вы используете конфигурацию приложений в определенном облаке без явной настройки аудитории идентификатора Microsoft Entra.

AADSTS500011: The resource principal named https://appconfig.azure.com was not found in the tenant named msazurecloud.

Чтобы устранить эту проблему, настройте соответствующую аудиторию Entra ID, как показано в фрагментах кода ниже.

Поставщик конфигурации .NET

Если приложение использует любой из следующих пакетов, аудитория может быть настроена с помощью метода ConfigureClientOptions . Чтобы настроить аудиторию, используйте версию 8.2.0 или более позднюю версию любого из следующих пакетов.

Microsoft.Extensions.Configuration.AzureAppConfiguration
Microsoft.Azure.AppConfiguration.AspNetCore
Microsoft.Azure.AppConfiguration.Functions.Worker

В следующем фрагменте кода показано, как добавить поставщика конфигурации приложений Azure в приложение .NET с облачной аудиторией.

builder.AddAzureAppConfiguration(o =>
    {
        o.Connect(
            myStoreEndpoint,
            new DefaultAzureCredential());

        o.ConfigureClientOptions(clientOptions =>
            clientOptions.Audience = "{Cloud specific audience here}");
    });

Azure SDK для .NET

Если ваше приложение использует следующий пакет, аудитория может быть настроена в ConfigurationClientOptions при создании объекта ConfigurationClient. Используйте версию 1.6.0 или более позднюю версию следующего пакета.

Azure.Data.AppConfiguration

В следующем фрагменте кода показано, как создать экземпляр клиента конфигурации с аудиторией, специфичной для облачных технологий.

var configurationClient = new ConfigurationClient(
    myStoreEndpoint,
    new DefaultAzureCredential(),
    new ConfigurationClientOptions
    {
        Audience = "{Cloud specific audience here}"
    });

Поставщик конфигурации Spring

Если ваше приложение использует любой из следующих пакетов, целевую аудиторию можно настроить, настроив ConfigurationClientBuilder через интерфейс ConfigurationClientCustomizer, после чего добавьте её в реестр начальной загрузки. Чтобы настроить аудиторию, используйте версию 5.22.0 или более позднюю версию следующих пакетов.

spring-cloud-azure-appconfiguration-config
spring-cloud-azure-appconfiguration-config-web

В следующем фрагменте кода показано, как добавить поставщика конфигурации приложений Azure в приложение Spring Boot с облачной аудиторией.

import com.azure.data.appconfiguration.ConfigurationClientBuilder;
import com.azure.data.appconfiguration.models.ConfigurationAudience;
import com.azure.spring.cloud.appconfiguration.config.ConfigurationClientCustomizer;

public class CustomClient implements ConfigurationClientCustomizer {

    @Override
    public void customize(ConfigurationClientBuilder builder, String endpoint) {
        builder.audience(ConfigurationAudience.fromString("{Cloud specific audience here}"));
    }
}

Затем зарегистрируйте CustomClient в реестре начальной загрузки.

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.AutoConfiguration;
import org.springframework.boot.autoconfigure.SpringBootApplication;

import hello.impl.AppConfigClientImpl;

@SpringBootApplication
@AutoConfiguration
public class Application {

	public static void main(String[] args) {
		SpringApplication app = new SpringApplication(Application.class);
		
		// Register the ConfigurationClientCustomizer in the bootstrap context
		app.addBootstrapRegistryInitializer(registry -> {
			registry.register(CustomClient.class, context -> new CustomClient());
		});
		
		app.run(args);
	}

}

Azure SDK для Java

Если ваше приложение использует упомянутый ниже пакет, аудитория может быть настроена путем передачи опции audience -параметра ConfigurationClientBuilder во время сборки ConfigurationClient. Используйте версию 1.8.0 или более позднюю версию следующего пакета.

azure-data-appconfiguration

ConfigurationClient configurationClient = new ConfigurationClientBuilder()
    .endpoint(myStoreEndpoint)
    .credential(new DefaultAzureCredentialBuilder().build())
    .audience(ConfigurationAudience.fromString("{Cloud specific audience here}"))
    .buildClient();

Поставщик конфигурации JavaScript

Если ваше приложение использует следующий пакет, аудиторию можно настроить, передавая свойство clientOptions в функцию audience. Используйте версию 1.0.0 или более позднюю версию следующего пакета.

@azure/app-configuration-provider

В следующем фрагменте кода показано, как загрузить конфигурацию приложений Azure в приложении JavaScript с облачной аудиторией.

const appConfig = await load(myStoreEndpoint, credential, {
    clientOptions: {
        audience: "{Cloud specific audience here}"
    }
});

Azure SDK для JavaScript

Если ваше приложение использует следующий пакет, целевая аудитория может быть настроена, передав параметр audience в конструктор AppConfigurationClient. Используйте версию 1.9.0 или более позднюю версию следующего пакета.

@azure/app-configuration

const client = new AppConfigurationClient(myStoreEndpoint, new DefaultAzureCredential(), {
    audience: "{Cloud specific audience here}",
});

Поставщик конфигурации Python

Если ваше приложение использует следующий пакет, целевой сегмент может быть настроен путем передачи ключевого слова audience методу load. Используйте версию 2.4.0 или более позднюю версию следующего пакета.

azure-appconfiguration-provider

В следующем фрагменте кода показано, как загрузить конфигурацию приложений Azure в приложении Python с облачной аудиторией.

from azure.appconfiguration.provider import load
from azure.identity import DefaultAzureCredential

config = load(
    endpoint=myStoreEndpoint,
    credential=DefaultAzureCredential(),
    audience="{Cloud specific audience here}",
)

Azure SDK для Python

Если ваше приложение использует следующий пакет, аудитория может быть настроена, передавая аргумент audience конструктору AzureAppConfigurationClient. Используйте версию 1.8.0 или более позднюю версию следующего пакета.

azure-appconfiguration

from azure.appconfiguration import AzureAppConfigurationClient
from azure.identity import DefaultAzureCredential

client = AzureAppConfigurationClient(
    myStoreEndpoint,
    DefaultAzureCredential(),
    audience="{Cloud specific audience here}",
)

Чтобы настроить аудиторию Entra ID, сначала импортируйте следующие пакеты в приложении Go:

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azcore/cloud"
    "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
)

Поставщик конфигурации Go

Если ваше приложение использует следующий пакет, аудиторию можно настроить, передав ClientOptions вместе с конфигурацией облака в функцию Load. Используйте версию 1.0.0 или более позднюю версию следующего пакета.

azureappconfiguration

В следующем фрагменте кода показано, как загрузить конфигурацию приложений Azure в приложении Go с облачной аудиторией.

credential, _:= azidentity.NewDefaultAzureCredential(nil)

authOptions := azureappconfiguration.AuthenticationOptions{
    Endpoint: myStoreEndpoint,
    Credential: credential,
}

cloudConfig := cloud.Configuration{
    Services: map[cloud.ServiceName]cloud.ServiceConfiguration{
        azappconfig.ServiceName: {
            Audience: "{Cloud specific audience here}",
        },
    },
}

options := &azureappconfiguration.Options{
    ClientOptions: &azappconfig.ClientOptions{
        ClientOptions: policy.ClientOptions{
            Cloud: cloudConfig,
        },
    },
}

appConfig, _ := azureappconfiguration.Load(context.Background(), authOptions, options)

Пакет Azure SDK для Go

Если приложение использует следующий пакет, аудитория может быть настроена с помощью облачной конфигурации. Используйте версию 2.1.0 или более позднюю версию следующего пакета.

azappconfig

credential, _:= azidentity.NewDefaultAzureCredential(nil)

cloudConfig := cloud.Configuration{
    Services: map[cloud.ServiceName]cloud.ServiceConfiguration{
        azappconfig.ServiceName: {
            Audience: "{Cloud specific audience here}",
        },
    },
}

clientOptions := &azappconfig.ClientOptions{
    ClientOptions: policy.ClientOptions{
        Cloud: cloudConfig,
    },
}

client, _ := azappconfig.NewClient(myStoreEndpoint, credential, clientOptions)

Поставщик Kubernetes

Если ваше приложение работает в Kubernetes и вы используете поставщик конфигурации приложений Azure для Kubernetes, настройка пользователей зависит от того, как установлен поставщик.

Расширение AKS: настройка аудитории не требуется. Расширение автоматически определяет аудиторию на основе облака, в котором она выполняется.
Диаграмма Helm: аудитория может быть настроена во время установки, задав env.azureAppConfigurationAudience параметр. Чтобы настроить аудиторию, используйте версию 2.6.0 или более позднюю поставщика конфигурации приложений Azure для Kubernetes.

Команда ниже демонстрирует, как установить поставщика Kubernetes конфигурации приложений Azure с помощью Helm для облачной инфраструктуры.

helm install azureappconfiguration.kubernetesprovider \
    oci://mcr.microsoft.com/azure-app-configuration/helmchart/kubernetes-provider \
    --namespace azappconfig-system \
    --create-namespace \
    --set env.azureAppConfigurationAudience="{Cloud specific audience here}"

Следующие шаги

Узнайте, как использовать управляемые удостоверения для доступа к хранилищу конфигурации приложений.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-17