通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Playwright Workspaces 中管理对工作区的访问权限

本文介绍如何在 Playwright Workspaces 中管理对工作区的访问权限。 该服务使用 Azure 基于角色的访问控制 (Azure RBAC) 来授权对工作区的访问权限。 角色分配是使用 Azure RBAC 控制资源访问权限的方式。

先决条件

  • 若要在 Azure 中分配角色,你的帐户需具有用户访问管理员所有者或某个经典管理员角色

    若要在 Azure 门户中验证你的权限,请执行以下操作:

    1. Azure 门户中,转到 Playwright 工作区。
    2. 在左侧窗格中选择“访问控制 (IAM)”,然后选择“查看我的访问权限”

默认角色

Playwright 工作区使用三个 Azure 内置角色。 若要授予用户访问工作区的权限,请为他们分配以下 Azure 内置角色之一:

角色 访问级别
读取者 - 对 Azure 门户中工作区的只读访问权限。
- 查看工作区的测试结果。
- 无法创建或删除工作区访问令牌
- 无法在服务上运行 Playwright 测试。
参与者 - 拥有在 Azure 门户中管理工作区的完全访问权限,但无法在 Azure RBAC 中分配角色。
- 对 Azure 门户中工作区的完全访问权限。
- 创建和删除其访问令牌
- 对该服务运行 Playwright 测试。
所有者 - 拥有在 Azure 门户中管理工作区的完全访问权限,包括在 Azure RBAC 中分配角色。
- 对 Azure 门户中工作区的完全访问权限。
- 创建和删除其访问令牌
- 对该服务运行 Playwright 测试。

重要

在分配 Azure RBAC 角色之前,请确定所需的访问范围。 最佳做法指出,最好是授予尽可能小的范围。 在较广范围内中定义的 Azure RBAC 角色由其下的资源继承。 有关 Azure RBAC 角色分配范围的详细信息,请参阅了解 Azure RBAC 的范围

向用户授予访问权限

可以使用 Azure 门户向用户授予对 Playwright 工作区的访问权限:

  1. 登录到 Azure 门户

  2. 导航到你的 Playwright 工作区。

  3. 在“访问控制 (IAM)”页面上,选择“添加”“添加角色分配”>

    如果你不拥有分配角色的权限,则将禁用“添加角色分配”选项

    屏幕截图显示了如何在 Azure 门户中向工作区添加角色分配。

  4. 在“角色”选项卡上,选择“特权管理员”角色

  5. 选择其中一个 Playwright Workspaces 默认角色,然后选择“ 下一步”。

    屏幕截图显示了在 Azure 门户中添加角色分配时的角色列表。

  6. 在“成员”选项卡上,确保已选择“用户、组或服务主体”

  7. 选择“选择成员”,然后查找并选择用户、组或服务主体

    屏幕截图显示了在 Azure 门户中添加角色分配时的成员选择界面。

  8. 选择“查看 + 分配”以分配角色

    有关如何分配角色的详细信息,请参阅使用 Azure 门户分配 Azure 角色

撤销用户的访问权限

可以使用 Azure 门户撤销用户对 Playwright 工作区的访问权限:

  1. Azure 门户中,转到 Playwright 工作区。

  2. 在左侧窗格中,依次选择“访问控制 (IAM)”、“角色分配”

  3. 在角色分配列表中,勾选要删除的用户和角色,然后选择“删除”

    屏幕截图显示了角色分配列表以及如何在 Azure 门户中删除分配。

  4. 在确认窗口中选择“是”以删除角色分配

    有关如何删除角色分配的详细信息,请参阅删除 Azure 角色分配

(可选)使用 Microsoft Entra 安全组管理工作区访问权限

除了授予或撤销单个用户的访问权限以外,还可以使用 Microsoft Entra 安全组来管理用户组的访问权限。 此方法提供以下优势:

  • 这样就不需要授予团队或项目负责人在工作区中的所有者角色。 可以仅授予他们访问安全组的权限,让他们管理对工作区的访问权限。
  • 你能够以组的形式组织、管理和撤销用户对工作区和其他资源的权限,而无需逐一管理每个用户的权限。
  • 使用 Microsoft Entra 组有助于避免达到角色分配的订阅限制

若要使用 Microsoft Entra 安全组,请执行以下操作:

  1. 创建一个安全组

  2. 添加组所有者。 此用户有权添加或删除组成员。 组所有者不必是组成员,也不必在工作区中拥有直接 RBAC 角色。

  3. 为该组分配工作区中的 RBAC 角色,例如读取者或参与者。

  4. 添加组成员。 添加的成员现在可以访问工作区。

为受限租户创建自定义角色

如果使用 Microsoft Entra 租户限制和具有临时访问权限的用户,则可以在 Azure RBAC 中创建自定义角色来管理权限并授予运行测试的访问权限。

执行以下步骤来管理自定义角色的权限:

  1. 按照这些步骤创建 Azure 自定义角色

  2. 选择 “添加权限”,然后在搜索框中输入 Playwright ,然后选择 “Microsoft.LoadTestService”。

  3. 选择所需的权限,例如 Microsoft.LoadTestService/PlaywrightWorkspaces/write,然后选择“ 添加”。

    屏幕截图显示了在 Azure 门户中添加到自定义角色的权限列表,其中突出显示了要添加的权限记录。

  4. 按照这些步骤为用户帐户的自定义角色添加角色分配

    该用户现在可以继续在工作区中运行测试。

故障排除

使用 Azure 基于角色的访问控制 (Azure RBAC) 时,请注意以下几点:

  • 当你在 Azure 中创建资源(例如工作区)时,并不会自动成为该资源的所有者。 你的角色继承自你在该订阅中获得相应授权的最高范围角色。 例如,如果你是订阅的参与者,则有权创建 Playwright 工作区。 但是,系统将为你分配该工作区的参与者角色,而不是所有者角色。

  • 针对同一 Microsoft Entra 用户的两个角色分配具有冲突的 Actions/NotActions 部分时,如果操作在某个角色的 NotActions 中列出,但也在另一个角色中作为 Actions 列出,则此类操作可能不会生效。 若要详细了解 Azure 如何分析角色分配,请参阅 Azure RBAC 如何确定用户是否有权访问资源

  • 新的角色分配有时可能需要长达 1 小时才能生效,覆盖缓存的权限。

相关内容