Autorización con el identificador de Entra de Microsoft

Azure Storage proporciona integración con Microsoft Entra ID para la autorización basada en identidad de las solicitudes a los servicios Blob, File, Queue y Table. Con microsoft Entra ID, puede usar el control de acceso basado en rol (RBAC) para conceder acceso a recursos de blob, archivo, cola y tabla a usuarios, grupos o aplicaciones. Puede conceder permisos cuyo ámbito sea el nivel de un contenedor individual, un recurso compartido, una cola o una tabla.

Para más información sobre la integración de Microsoft Entra ID en Azure Storage, consulte Autorización del acceso a blobs y colas de Azure mediante el identificador de Microsoft Entra.

Para obtener más información sobre las ventajas de usar Microsoft Entra ID en la aplicación, consulte Integración con la plataforma de identidad de Microsoft.

Uso de tokens de acceso de OAuth para la autenticación

Azure Storage acepta tokens de acceso de OAuth 2.0 del inquilino de Microsoft Entra asociado a la suscripción que contiene la cuenta de almacenamiento. Azure Storage acepta tokens de acceso para:

• Usuarios y grupos
• Entidades de servicio
• Identidades administradas para recursos de Azure
• Aplicaciones que usan permisos delegados por los usuarios

Azure Storage expone un único ámbito de delegación denominado user_impersonation que permite que las aplicaciones realicen cualquier acción permitida por el usuario.

Para solicitar tokens para Azure Storage, especifique el valor https://storage.azure.com/ del identificador de recurso. Para obtener más información sobre el identificador de recurso, consulte Ámbitos, permisos y consentimiento de la plataforma de identidad de Microsoft.

Para obtener más información sobre cómo solicitar tokens de acceso de Microsoft Entra ID para usuarios y entidades de servicio, consulte Flujos de autenticación y escenarios de aplicación.

Para más información sobre cómo solicitar tokens de acceso para recursos configurados con identidades administradas, consulte Uso de identidades administradas para recursos de Azure en una máquina virtual de Azure para adquirir un token de acceso.

Llamada a operaciones de almacenamiento con tokens de OAuth

Para llamar a las operaciones de Blob, File, Queue y Table service mediante tokens de acceso de OAuth, pase el token de acceso en el encabezado Authorization mediante el esquema bearer y especifique una versión de servicio de 2017-11-09 (2022-11-02 para las operaciones en recursos de archivo y recurso de directorio o 2024-11-04 para las operaciones en el recurso FileService y el recurso FileShare ) o superior, como se muestra en el ejemplo siguiente:

Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate

Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!

Desafío de portador

El desafío de portador forma parte del protocolo OAuth RFC 6750 y se usa para la detección de autoridad. Para las solicitudes anónimas a Blob Service o para las solicitudes realizadas con un token de portador de OAuth no válido, el servidor devolverá el código de estado 401 (no autorizado) con el proveedor de identidades y la información de recursos. Consulte el vínculo para obtener información sobre cómo usar estos valores durante la autenticación con microsoft Entra ID.

Los servicios de blob y cola de Azure Storage devuelven un desafío de portador para la versión 2019-12-12 y versiones posteriores. Azure Storage Table service devuelve un desafío de portador para la versión 2020-12-06 y posteriores. Azure Data Lake Storage Gen2 devuelve un desafío de portador para la versión 2017-11-09 y posteriores. El servicio Azure File devuelve un desafío de portador de la versión 2022-11-02 y posteriores.

Respuestas a solicitudes de lectura anónimas

Cuando Blob Storage recibe una solicitud anónima, esa solicitud se realizará correctamente si se cumplen todas las condiciones siguientes:

• Se permite el acceso público anónimo para la cuenta de almacenamiento.
• El contenedor está configurado para permitir el acceso público anónimo.
• La solicitud es para el acceso de lectura.

Si alguna de esas condiciones no es cierta, se producirá un error en la solicitud. El código de respuesta del error depende de si la solicitud anónima se realizó con una versión del servicio que admite el desafío de portador. El desafío de portador se admite con las versiones de servicio 2019-12-12 y posteriores:

• Si la solicitud anónima se realizó con una versión de servicio que admita el desafío de portador, el servicio devuelve el código de error 401 (no autorizado).
• Si la solicitud anónima se realizó con una versión de servicio que no admite el desafío de portador y el acceso público anónimo no se permite para la cuenta de almacenamiento, el servicio devuelve el código de error 409 (conflicto).
• Si la solicitud anónima se realizó con una versión de servicio que no admite el desafío de portador y se permite el acceso público anónimo para la cuenta de almacenamiento, el servicio devuelve el código de error 404 (no encontrado).

Para más información sobre el desafío del portador, consulte Desafío del portador.

Respuesta de ejemplo al desafío de portador

A continuación se muestra un ejemplo de una respuesta de desafío de portador cuando la solicitud de cliente no incluye el token de portador en la solicitud de blob de descarga anónima:

Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net

Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com

<?xml version="1.0" encoding="utf-8"?>
<Error>
    <Code>NoAuthenticationInformation</Code>
    <Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>

Administración de derechos de acceso con RBAC

Microsoft Entra ID controla la autorización del acceso a los recursos protegidos a través de RBAC. Con RBAC, puede asignar roles a usuarios, grupos o entidades de servicio. Cada rol abarca un conjunto de permisos para un recurso. Una vez asignado el rol al usuario, grupo o entidad de servicio, tienen acceso a ese recurso. Puede asignar derechos de acceso mediante Azure Portal, las herramientas de línea de comandos de Azure y las API de administración de Azure. Para obtener más información sobre RBAC, consulte Introducción a Role-Based Control de acceso.

Para Azure Storage, puede conceder acceso a los datos de un contenedor o una cola en la cuenta de almacenamiento. Azure Storage ofrece estos roles RBAC integrados para su uso con el id. de Microsoft Entra:

• Propietario de datos de blobs de almacenamiento
• Colaborador de datos de blobs de almacenamiento
• Lector de datos de blobs de almacenamiento
• Delegado de blobs de storage
• Colaborador de datos de la cola de Storage
• lector de datos de cola de Storage
• Procesador de mensajes de datos de la cola de Storage
• Emisor de mensajes de datos de la cola de Storage
• Lector de datos de tabla de Storage
• Colaborador de datos de tabla de Storage
• colaborador privilegiado de datos de archivo de almacenamiento
• Storage lector privilegiado de datos de archivos

Para más información sobre cómo se definen los roles integrados para Azure Storage, consulte Descripción de las definiciones de roles para los recursos de Azure.

También puede definir roles personalizados para usarlos con Blob Storage y Azure Queues. Para más información, consulte Creación de roles personalizados para Azure Role-Based Access Control.

Permisos para llamar a operaciones de datos

En las tablas siguientes se describen los permisos necesarios para que un usuario, grupo, identidad administrada o entidad de servicio de Microsoft Entra llame a operaciones específicas de Azure Storage. Para permitir que un cliente llame a una operación determinada, asegúrese de que el rol RBAC asignado del cliente ofrece permisos suficientes para esa operación.

Permisos para las operaciones de Blob Service

Permisos para las operaciones de Queue Service

Permisos para las operaciones de Table Service

Permisos para las operaciones del servicio de archivos

Consulte también

• Autorizar solicitudes a Azure Storage