Menetapkan akses identitas terkelola ke peran aplikasi menggunakan PowerShell

Identitas terkelola untuk sumber daya Azure menyediakan layanan Azure dengan identitas di ID Microsoft Entra. Identitas terkelola bekerja tanpa membutuhkan info masuk dalam kode Anda. Layanan Azure menggunakan identitas ini untuk mengautentikasi ke layanan yang mendukung autentikasi Microsoft Entra. Peran aplikasi menyediakan bentuk kontrol akses berbasis peran dan memungkinkan layanan untuk mengimplementasikan aturan otorisasi.

Catatan

Token yang diterima aplikasi Anda di-cache oleh infrastruktur yang mendasarinya, artinya, setiap perubahan pada peran identitas terkelola mungkin membutuhkan waktu yang signifikan untuk diterapkan. Untuk informasi selengkapnya, lihat Batasan penggunaan identitas terkelola untuk otorisasi.

Dalam artikel ini, Anda mempelajari cara menetapkan identitas terkelola ke peran aplikasi yang diekspos oleh aplikasi lain menggunakan Microsoft Graph PowerShell SDK.

Prasyarat

• Jika Anda tidak terbiasa dengan identitas terkelola untuk sumber daya Azure, lihat bagian ringkasan. Pastikan untuk meninjau perbedaan antara identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna.
• Jika Anda belum memiliki akun Azure, daftar untuk mendapatkan akun gratis sebelum melanjutkan.
• Untuk menjalankan contoh skrip, Anda memiliki dua opsi:
  • Gunakan Azure Cloud Shell, yang dapat Anda buka menggunakan tombol Coba di sudut kanan atas blok kode.
  • Jalankan skrip secara lokal dengan menginstal versi terbaru Microsoft Graph PowerShell SDK.

Menetapkan akses identitas terkelola ke peran aplikasi pada aplikasi lain

1. Aktifkan identitas terkelola pada sumber daya Azure, seperti komputer virtual Azure.

2. Temukan ID objek dari perwakilan layanan identitas terkelola.

   Untuk identitas terkelola yang ditetapkan sistem, Anda dapat menemukan ID objek di portal Microsoft Azure di halaman Identitas sumber daya. Anda juga dapat menggunakan skrip PowerShell berikut untuk menemukan ID objek. Anda memerlukan ID sumber daya yang Anda buat di langkah 1, yang tersedia di portal Microsoft Azure di halaman Properti sumber daya.

   $resourceIdWithManagedIdentity = '/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.Compute/virtualMachines/{my virtual machine name}'
   (Get-AzResource -ResourceId $resourceIdWithManagedIdentity).Identity.PrincipalId
   

   Untuk identitas terkelola yang ditetapkan pengguna, Anda dapat menemukan ID objek identitas terkelola di portal Microsoft Azure di halaman Gambaran Umum sumber daya. Anda juga dapat menggunakan skrip PowerShell berikut untuk menemukan ID objek. Anda memerlukan ID sumber daya identitas terkelola yang ditetapkan pengguna.

   $userManagedIdentityResourceId = '/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{my managed identity name}'
   (Get-AzResource -ResourceId $userManagedIdentityResourceId).Properties.PrincipalId
   

3. Buat pendaftaran aplikasi baru untuk mewakili layanan yang akan diminta oleh identitas terkelola Anda. Jika API atau layanan yang mengekspos pemberian peran aplikasi ke identitas terkelola sudah memiliki perwakilan layanan di penyewa Microsoft Entra Anda, lewati langkah ini. Misalnya, jika Anda ingin memberikan akses identitas terkelola ke Microsoft Graph API, Anda dapat melewati langkah ini.

4. Temukan ID objek dari perwakilan layanan aplikasi layanan. Anda dapat menemukan ini menggunakan portal Microsoft Azure. Buka ID Microsoft Entra dan buka halaman Aplikasi perusahaan, lalu temukan aplikasi dan cari ID Objek. Anda juga dapat menemukan ID objek kepala perwakilan layanan dengan nama tampilannya menggunakan skrip PowerShell berikut:

   $serverServicePrincipalObjectId = (Get-MgServicePrincipal -Filter "DisplayName eq '$applicationName'").Id
   

   Catatan

   Nama tampilan untuk aplikasi tidak unik, jadi Anda harus memverifikasi bahwa Anda mendapatkan perwakilan layanan aplikasi yang benar.

5. Tambahkan peran aplikasi ke aplikasi yang Anda buat di langkah 3. Anda dapat membuat peran menggunakan portal Microsoft Azure atau menggunakan Microsoft Graph. Misalnya, Anda dapat menambahkan peran aplikasi dengan menjalankan kueri berikut di penjelajah Graph:

   PATCH /applications/{id}/
   
   {
       "appRoles": [
           {
               "allowedMemberTypes": [
                   "User",
                   "Application"
               ],
               "description": "Read reports",
               "id": "1e250995-3081-451e-866c-0f6efef9c638",
               "displayName": "Report reader",
               "isEnabled": true,
               "value": "report.read"
           }
       ]
   }
   

6. Tetapkan peran aplikasi ke identitas terkelola. Anda memerlukan informasi berikut untuk menetapkan peran aplikasi:

   • managedIdentityObjectId: ID objek dari perwakilan layanan identitas terkelola, yang Anda temukan di langkah 2.
   • serverServicePrincipalObjectId: ID objek dari perwakilan layanan aplikasi server, yang Anda temukan di langkah 4.
   • appRoleId: ID dari peran aplikasi yang diekspos oleh aplikasi server, yang Anda buat di langkah 5 - dalam contoh, ID peran aplikasinya adalah 0566419e-bb95-4d9d-a4f8-ed9a0f147fa6.

   Jalankan perintah PowerShell berikut untuk menambahkan penetapan peran:

   New-MgServicePrincipalAppRoleAssignment `
       -ServicePrincipalId $serverServicePrincipalObjectId `
       -PrincipalId $managedIdentityObjectId `
       -ResourceId $serverServicePrincipalObjectId `
       -AppRoleId $appRoleId
   

Skrip lengkap

Contoh skrip ini menunjukkan cara menetapkan identitas terkelola aplikasi web Azure ke peran aplikasi.

# Install the module.
# Install-Module Microsoft.Graph -Scope CurrentUser

# Your tenant ID (in the Azure portal, under Azure Active Directory > Overview).
$tenantID = '<tenant-id>'

# The name of your web app, which has a managed identity that should be assigned to the server app's app role.
$webAppName = '<web-app-name>'
$resourceGroupName = '<resource-group-name-containing-web-app>'

# The name of the server app that exposes the app role.
$serverApplicationName = '<server-application-name>' # For example, MyApi

# The name of the app role that the managed identity should be assigned to.
$appRoleName = '<app-role-name>' # For example, MyApi.Read.All

# Look up the web app's managed identity's object ID.
$managedIdentityObjectId = (Get-AzWebApp -ResourceGroupName $resourceGroupName -Name $webAppName).identity.principalid

Connect-MgGraph -TenantId $tenantId -Scopes 'Application.Read.All','Application.ReadWrite.All','AppRoleAssignment.ReadWrite.All','Directory.AccessAsUser.All','Directory.Read.All','Directory.ReadWrite.All'

# Look up the details about the server app's service principal and app role.
$serverServicePrincipal = (Get-MgServicePrincipal -Filter "DisplayName eq '$serverApplicationName'")
$serverServicePrincipalObjectId = $serverServicePrincipal.Id
$appRoleId = ($serverServicePrincipal.AppRoles | Where-Object {$_.Value -eq $appRoleName }).Id

# Assign the managed identity access to the app role.
New-MgServicePrincipalAppRoleAssignment `
    -ServicePrincipalId $serverServicePrincipalObjectId `
    -PrincipalId $managedIdentityObjectId `
    -ResourceId $serverServicePrincipalObjectId `
    -AppRoleId $appRoleId

---

Langkah berikutnya

• Identitas terkelola untuk ringkasan sumber daya Azure
• Untuk mengaktifkan identitas terkelola di komputer virtual Azure, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure di komputer virtual Azure menggunakan PowerShell.