Autorisieren mit Der Microsoft Entra-ID

Azure Storage bietet integrationsbasierte Microsoft Entra-ID für die identitätsbasierte Autorisierung von Anforderungen an die Blob-, Datei-, Warteschlangen- und Tabellendienste. Mit Microsoft Entra-ID können Sie rollenbasierte Zugriffssteuerung (RBAC) verwenden, um Zugriff auf Blob-, Datei-, Warteschlangen- und Tabellenressourcen für Benutzer, Gruppen oder Anwendungen zu gewähren. Sie können Berechtigungen erteilen, die auf die Ebene eines einzelnen Containers, einer Freigabe, einer Warteschlange oder einer Tabelle festgelegt sind.

Weitere Informationen zur Microsoft Entra-ID-Integration in Azure Storage finden Sie unter Autorisieren des Zugriffs auf Azure-Blobs und -Warteschlangen mithilfe der Microsoft Entra-ID.

Weitere Informationen zu den Vorteilen der Verwendung von Microsoft Entra ID in Ihrer Anwendung finden Sie unter Integration mit der Microsoft Identity Platform.

Verwenden von OAuth-Zugriffstoken für die Authentifizierung

Azure Storage akzeptiert OAuth 2.0-Zugriffstoken aus dem Microsoft Entra-Mandanten, der dem Abonnement zugeordnet ist, das das Speicherkonto enthält. Azure Storage akzeptiert Zugriffstoken für:

• Benutzer und Gruppen
• Dienstprinzipale
• Verwaltete Identitäten für Azure-Ressourcen
• Anwendungen, die von Benutzern delegierte Berechtigungen verwenden

Azure Storage macht einen einzelnen Delegierungsbereich verfügbar user_impersonation , der anwendungen erlaubt, alle vom Benutzer zulässigen Aktionen auszuführen.

Um Token für Azure Storage anzufordern, geben Sie den Wert https://storage.azure.com/ für die Ressourcen-ID an. Weitere Informationen zur Ressourcen-ID finden Sie unter Microsoft Identity Platform-Bereiche, Berechtigungen und Zustimmung.

Weitere Informationen zum Anfordern von Zugriffstoken von Microsoft Entra ID für Benutzer und Dienstprinzipale finden Sie unter Authentifizierungsflüsse und Anwendungsszenarien.

Weitere Informationen zum Anfordern von Zugriffstoken für Ressourcen, die mit verwalteten Identitäten konfiguriert sind, finden Sie unter Verwenden von verwalteten Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen eines Zugriffstokens.

Aufrufen von Speichervorgängen mit OAuth-Token

Um Blob-, Datei-, Warteschlangen- und Tabellendienstvorgänge mit OAuth-Zugriffstoken aufzurufen, übergeben Sie das Zugriffstoken im Autorisierungsheader mithilfe des Bearer-Schemas, und geben Sie eine Dienstversion von 2017-11-09 (2022-11-02 für Vorgänge in Dateiressourcen und Verzeichnisressource oder 2024-11-04 für Vorgänge auf FileService-Ressource und FileShare-Ressource) oder höher an, wie im folgenden Beispiel gezeigt:

Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate

Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!

Bearer-Herausforderung

Bearer-Herausforderung ist Teil des OAuth-Protokolls RFC 6750 und wird für die Autoritätsermittlung verwendet. Bei anonymen Anforderungen an den Blob-Dienst oder für Anforderungen, die mit einem ungültigen OAuth-Bearertoken vorgenommen wurden, gibt der Server den Statuscode 401 (Nicht autorisiert) mit Identitätsanbieter und Ressourceninformationen zurück. Unter "Link " erfahren Sie, wie Sie diese Werte während der Authentifizierung mit microsoft Entra ID verwenden.

Azure Storage Blob- und Warteschlangendienste geben eine Bearer-Herausforderung für Version 2019-12-12 und höher zurück. Der Azure Storage Table-Dienst gibt eine Beareranforderung für Version 2020-12-06 und höher zurück. Azure Data Lake Storage Gen2 gibt eine Bearer-Herausforderung für Version 2017-11-09 und höher zurück. Der Azure-Dateidienst gibt eine Bearer-Herausforderung aus Version 2022-11-02 und höher zurück.

Antworten auf anonyme Leseanforderungen

Wenn Blob Storage eine anonyme Anforderung empfängt, wird diese Anforderung erfolgreich ausgeführt, wenn alle folgenden Bedingungen erfüllt sind:

• Anonymer öffentlicher Zugriff ist für das Speicherkonto zulässig.
• Der Container ist so konfiguriert, dass anonymer öffentlicher Zugriff zulässig ist.
• Die Anforderung ist für den Lesezugriff vorgesehen.

Wenn eine dieser Bedingungen nicht erfüllt ist, schlägt die Anforderung fehl. Der Antwortcode beim Fehler hängt davon ab, ob die anonyme Anforderung mit einer Version des Diensts durchgeführt wurde, die die Bearerabfrage unterstützt. Die Bearer-Herausforderung wird mit Dienstversionen 2019-12-12 und höher unterstützt:

• Wenn die anonyme Anforderung mit einer Dienstversion durchgeführt wurde, die die Bearerabfrage unterstützt, gibt der Dienst den Fehlercode 401 (Nicht autorisiert) zurück.
• Wenn die anonyme Anforderung mit einer Dienstversion erfolgt ist, die die Bearerabfrage nicht unterstützt und der anonyme öffentliche Zugriff für das Speicherkonto nicht zulässig ist, gibt der Dienst den Fehlercode 409 (Conflict) zurück.
• Wenn die anonyme Anforderung mit einer Dienstversion erfolgt ist, die die Bearerabfrage nicht unterstützt und der anonyme öffentliche Zugriff für das Speicherkonto zulässig ist, gibt der Dienst den Fehlercode 404 (Nicht gefunden) zurück.

Weitere Informationen zur Bearer-Aufforderung finden Sie unter Bearer-Aufforderung.

Beispielantwort auf Bearer-Herausforderung

Im Folgenden sehen Sie ein Beispiel für eine Bearer-Abfrageantwort, wenn die Clientanforderung das Bearertoken nicht in die anonyme Download-BLOB-Anforderung einschließt:

Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net

Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com

<?xml version="1.0" encoding="utf-8"?>
<Error>
    <Code>NoAuthenticationInformation</Code>
    <Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>

Verwalten von Zugriffsrechten mit RBAC

Die Microsoft Entra-ID verarbeitet die Autorisierung des Zugriffs auf gesicherte Ressourcen über RBAC. Mithilfe von RBAC können Sie Benutzern, Gruppen oder Dienstprinzipale Rollen zuweisen. Jede Rolle umfasst eine Reihe von Berechtigungen für eine Ressource. Sobald die Rolle dem Benutzer, der Gruppe oder dem Dienstprinzipal zugewiesen ist, haben sie Zugriff auf diese Ressource. Sie können Zugriffsberechtigungen über das Azure-Portal, Azure-Befehlszeilentools und Azure-Verwaltungs-APIs zuweisen. Weitere Informationen zu RBAC finden Sie unter "Erste Schritte mit Role-Based Zugriffssteuerung".

Für Azure Storage können Sie Den Zugriff auf Daten in einem Container oder einer Warteschlange im Speicherkonto gewähren. Azure Storage bietet diese integrierten RBAC-Rollen für die Verwendung mit Microsoft Entra ID:

• Besitzer von Speicherblobdaten
• Mitwirkender an Speicherblobdaten
• Leser von Speicherblobdaten
• Speicher-BLOB-Delegator
• Mitwirkender an Storage-Warteschlangendaten
• des Speicherwarteschlangen-Datenlesers
• Verarbeiter von Speicherwarteschlangen-Datennachrichten
• Absender der Speicherwarteschlangen-Datennachricht
• Storage-Tabellendatenleser
• Mitwirkender an Storage-Tabellendaten
• Speicherdateidaten privilegierter Mitwirkender
• Privilegierter Leser von Speicherdateien

Weitere Informationen dazu, wie integrierte Rollen für Azure Storage definiert werden, finden Sie unter Grundlegendes zu Rollendefinitionen für Azure-Ressourcen.

Sie können auch benutzerdefinierte Rollen für die Verwendung mit BLOB-Speicher und Azure-Warteschlangen definieren. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Rollen für Azure Role-Based Zugriffssteuerung.

Berechtigungen für Aufrufen von Datenvorgängen

In den folgenden Tabellen werden die Berechtigungen beschrieben, die für einen Microsoft Entra-Benutzer, eine Gruppe, eine verwaltete Identität oder einen Dienstprinzipal erforderlich sind, um bestimmte Azure Storage-Vorgänge aufzurufen. Um einem Client das Aufrufen eines bestimmten Vorgangs zu ermöglichen, stellen Sie sicher, dass die zugewiesene RBAC-Rolle des Clients ausreichende Berechtigungen für diesen Vorgang bietet.

Berechtigungen für Blob-Dienstvorgänge

Berechtigungen für Warteschlangendienstvorgänge

Berechtigungen für Tabellendienstvorgänge

Berechtigungen für Dateidienstvorgänge

Siehe auch

• Autorisieren von Anforderungen an Azure Storage