Mengautentikasi akses dan koneksi ke sumber daya Azure dengan identitas terkelola di Azure Logic Apps

  • Artikel

Berlaku untuk: Azure Logic Apps (Konsumsi + Standar)

Saat Anda menggunakan identitas terkelola untuk mengautentikasi akses atau koneksi ke sumber daya yang dilindungi Microsoft Entra dari alur kerja aplikasi logika, Anda tidak perlu memberikan kredensial, rahasia, atau token Microsoft Entra. Di Azure Logic Apps, beberapa operasi konektor mendukung penggunaan identitas terkelola saat Anda harus mengautentikasi akses ke sumber daya yang dilindungi oleh ID Microsoft Entra. Azure mengelola identitas ini dan menjaga keamanan informasi autentikasi karena Anda tidak perlu lagi mengelola rahasia atau token. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?.

Azure Logic Apps mendukung identitas terkelola yang ditetapkan sistem dan identitas terkelola yangditetapkan pengguna. Daftar berikut ini menjelaskan beberapa perbedaan antara jenis identitas terkelola ini:

  • Sumber daya aplikasi yang logika hanya dapat mengaktifkan dan menggunakan satu identitas unik yang ditetapkan sistem.

  • Sumber daya aplikasi yang logika dapat berbagi identitas yang ditetapkan pengguna yang sama di sekelompok sumber daya aplikasi logika lainnya.

Panduan ini memperlihatkan cara menyelesaikan tugas berikut:

  • Aktifkan dan siapkan identitas terkelola yang ditetapkan sistem untuk sumber daya aplikasi logika Anda. Panduan ini memberikan contoh yang menunjukkan cara menggunakan identitas untuk autentikasi.

  • Membuat dan menyiapkan identitas yang ditetapkan pengguna. Panduan ini menunjukkan cara membuat identitas yang ditetapkan pengguna menggunakan templat portal Azure dan Azure Resource Manager (templat ARM) dan cara menggunakan identitas untuk autentikasi. Untuk Azure PowerShell, Azure CLI, dan Azure REST API, lihat dokumentasi berikut:

Alat Dokumentasi
Azure PowerShell Membuat identitas yang ditetapkan pengguna
Azure CLI Membuat identitas yang ditetapkan pengguna
REST API Azure Membuat identitas yang ditetapkan pengguna

Konsumsi versus aplikasi logika Standar

Berdasarkan jenis sumber daya aplikasi logika Anda, Anda dapat mengaktifkan identitas yang ditetapkan sistem, identitas yang ditetapkan pengguna, atau keduanya secara bersamaan:

Aplikasi logika Lingkungan Dukungan identitas terkelola
Consumption - Azure Logic Apps multipenyewa

- Lingkungan layanan integrasi (ISE)		 - Aplikasi logika Anda dapat mengaktifkan identitas yang ditetapkan sistem atau identitas yang ditetapkan pengguna.

- Anda dapat menggunakan identitas terkelola di tingkat sumber daya aplikasi logika dan tingkat koneksi.

- Jika Anda mengaktifkan identitas yang ditetapkan pengguna, aplikasi logika Anda hanya dapat memiliki satu identitas yang ditetapkan pengguna pada satu waktu.
Standard - Azure Logic Apps penyewa tunggal

- App Service Environment v3 (ASEv3)

- Logic Apps dengan dukungan Azure Arc		 - Anda dapat mengaktifkan identitas yang ditetapkan sistem, yang diaktifkan secara default, dan identitas yang ditetapkan pengguna secara bersamaan.

- Anda dapat menggunakan identitas terkelola di tingkat sumber daya aplikasi logika dan tingkat koneksi.

- Jika Anda mengaktifkan identitas yang ditetapkan pengguna, sumber daya aplikasi logika Anda dapat memiliki beberapa identitas yang ditetapkan pengguna secara bersamaan.

Untuk informasi tentang batas identitas terkelola di Azure Logic Apps, lihat Batasan identitas terkelola untuk aplikasi logika. Untuk informasi selengkapnya tentang jenis dan lingkungan sumber daya aplikasi logika Konsumsi dan Standar, lihat dokumentasi berikut ini:

Tempat Anda dapat menggunakan identitas terkelola

Di Azure Logic Apps, hanya operasi konektor bawaan dan terkelola tertentu yang mendukung OAuth dengan ID Microsoft Entra yang dapat menggunakan identitas terkelola untuk autentikasi. Tabel berikut ini hanya menyediakan pilihan sampel. Untuk daftar yang lebih lengkap, lihat Jenis autentikasi untuk pemicu dan tindakan yang mendukung autentikasi dan layanan Azure yang mendukung autentikasi Microsoft Entra dengan identitas terkelola.

Untuk alur kerja aplikasi logika Konsumsi, tabel berikut mencantumkan konektor yang mendukung autentikasi identitas terkelola:

Jenis Konektor Konektor yang didukung
Bawaan - Azure API Management
- Azure App Services
- Azure Functions
- HTTP
- HTTP + Webhook

Catatan: Operasi HTTP dapat mengautentikasi koneksi ke akun Azure Storage di belakang firewall Azure dengan identitas yang ditetapkan sistem. Namun, operasi ini tidak mendukung identitas terkelola yang ditetapakn pengguna untuk mengautentikasi koneksi yang sama.
Terkelola - Azure App Service
- Azure Automation
- Azure Blob Storage
- Azure Container Instance
- Azure Cosmos DB
- Azure Data Explorer
- Azure Data Factory
- Azure Data Lake
- Azure Event Grid
- Azure Event Hubs
- Azure IoT Central V2
- Azure IoT Central V3
- Azure Key Vault
- Azure Log Analytics
- Antrean Azure
- Azure Resource Manager
- Azure Bus Layanan
- Azure Sentinel
- Azure Table Storage
- Azure VM
- HTTP dengan MICROSOFT Entra ID
- SQL Server

Prasyarat

  • Akun dan langganan Azure. Jika Anda tidak memiliki langganan, daftar untuk mendapatkan akun Azure secara gratis. Identitas terkelola dan sumber daya Azure target tempat Anda memerlukan akses harus menggunakan langganan Azure yang sama.

  • Sumber daya Azure target yang ingin Anda akses. Pada sumber daya ini, Anda akan menambahkan peran yang diperlukan untuk identitas terkelola untuk mengakses sumber daya tersebut atas nama aplikasi logika atau koneksi Anda. Untuk menambahkan peran ke identitas terkelola, Anda memerlukan izin administrator Microsoft Entra yang dapat menetapkan peran ke identitas di penyewa Microsoft Entra yang sesuai.

  • Sumber daya dan alur kerja aplikasi logika tempat Anda ingin menggunakan pemicu atau tindakan yang mendukung identitas terkelola.

Mengaktifkan identitas yang ditetapkan sistem di portal Azure

  1. Di portal Microsoft Azure, buka sumber daya aplikasi logika Anda.

  2. Pada menu aplikasi logika, di bagian Pengaturan, pilih Identitas.

  3. Pada halaman Identitas, di bawah Sistem yang ditetapkan, pilih Simpan>. Saat Azure meminta Anda untuk mengonfirmasi, pilih Ya.

    Screenshot shows Azure portal, Consumption logic app, Identity page, and System assigned tab with selected options, On and Save.

    Catatan

    Jika Anda mendapatkan kesalahan bahwa Anda hanya dapat memiliki satu identitas terkelola, aplikasi logika telah dikaitkan dengan identitas yang ditetapkan pengguna. Sebelum dapat menambahkan identitas yang ditetapkan sistem, Anda harus terlebih dahulu menghapus identitas yang ditetapkan pengguna dari sumber daya aplikasi logika Anda.

    Sumber daya aplikasi logika Anda sekarang dapat menggunakan identitas yang ditetapkan sistem. Identitas ini terdaftar dengan ID Microsoft Entra dan diwakili oleh ID objek.

    Screenshot shows Consumption logic app, Identity page, and object ID for system-assigned identity.

    Properti Nilai Deskripsi
    ID Obyek (utama) <identity-resource-ID> Pengidentifikasi Unik Global (GUID) yang mewakili identitas yang ditetapkan sistem untuk aplikasi logika Anda di penyewa Microsoft Entra.

  4. Sekarang ikuti langkah-langkah yang memberikan akses identitas tersebut ke sumber daya nanti dalam panduan ini.

Mengaktifkan identitas yang ditetapkan sistem di templat ARM

Untuk mengotomatisasi pembuatan dan penyebaran sumber daya aplikasi logika, Anda dapat menggunakan Template ARM. Untuk mengaktifkan identitas yang ditetapkan sistem untuk sumber daya aplikasi logika Anda dalam templat, tambahkan identity objek dan type properti anak ke definisi sumber daya aplikasi logika dalam templat, misalnya:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Saat Azure membuat definisi sumber daya aplikasi logika Anda, objek identity akan mendapatkan properti berikut:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Properti (JSON) Nilai Deskripsi
principalId <principal-ID> Pengidentifikasi Unik Global (GUID) dari objek perwakilan layanan untuk identitas terkelola yang mewakili aplikasi logika Anda di penyewa Microsoft Entra. GUID ini terkadang muncul sebagai "object ID" atau objectID.
tenantId <Azure-AD-tenant-ID> Pengidentifikasi Unik Global (GUID) yang mewakili penyewa Microsoft Entra tempat aplikasi logika sekarang menjadi anggota. Di dalam penyewa Microsoft Entra, perwakilan layanan memiliki nama yang sama dengan instans aplikasi logika.

Membuat identitas yang ditetapkan pengguna di portal Microsoft Azure

Sebelum dapat mengaktifkan identitas yang ditetapkan pengguna pada sumber daya aplikasi logika Konsumsi atau sumber daya aplikasi logika Standar, Anda harus membuat identitas tersebut sebagai sumber daya Azure terpisah.

  1. Di kotak pencarian portal Azure, masukkan identitas terkelola, dan pilih Identitas Terkelola.

    Screenshot shows Azure portal with selected option named Managed Identities.

  2. Pada halaman Identitas Terkelola, pilih Buat.

    Screenshot shows Managed Identities page and selected option for Create.

  3. Berikan informasi tentang identitas terkelola Anda, dan pilih Tinjau + Buat, misalnya:

    Screenshot shows page named Create User Assigned Managed Identity, with managed identity details.

    Properti Wajib Nilai Deskripsi
    Langganan Ya <Azure-subscription-name> Nama langganan Azure
    Grup sumber daya Ya <Azure-resource-group-name> Nama grup sumber daya Azure. Pilih grup baru atau pilih grup yang sudah ada. Contoh ini membuat grup baru bernama fabrikam-managed-identities-RG.
    Wilayah Ya <Wilayah-Azure> Wilayah Azure tempat menyimpan informasi akun penyimpanan Anda. Contoh ini menggunakan US Barat.
    Nama Ya <user-assigned-identity-name> Nama untuk identitas yang ditetapkan pengguna Anda. Contoh ini menggunakan Fabrikam-user-assigned-identity.

    Setelah Azure memvalidasi detail ini, Azure membuat identitas terkelola Anda. Sekarang Anda dapat menambahkan identitas yang ditetapkan pengguna ke aplikasi logika Anda.

Menambahkan identitas yang ditetapkan pengguna ke aplikasi logika di portal Azure

  1. Di portal Microsoft Azure, buka sumber daya aplikasi logika Anda.

  2. Pada menu aplikasi logika, di bagian Pengaturan, pilih Identitas.

  3. Pada halaman Identitas, pilih Tambahkan yang>ditetapkan pengguna.

    Screenshot shows Consumption logic app and Identity page with selected option for Add.

  4. Pada panel Tambahkan identitas terkelola yang ditetapkan pengguna, ikuti langkah ini:

    1. Dari daftar Langganan , pilih langganan Azure Anda.

    2. Dari daftar yang memiliki semua identitas terkelola dalam langganan Anda, pilih identitas yang ditetapkan pengguna yang Anda inginkan. Untuk memfilter daftar, dalam kotak pencarian Identitas terkelola yang ditetapkan pengguna, masukkan nama untuk identitas atau grup sumber daya.

      Screenshot shows Consumption logic app and selected user-assigned identity.

    3. Setelah selesai, pilih Tambahkan.

      Catatan

      Jika Anda mendapatkan kesalahan bahwa Anda hanya dapat memiliki satu identitas terkelola, aplikasi logika Anda sudah dikaitkan dengan identitas yang ditetapkan sistem. Sebelum dapat menambahkan identitas yang ditetapkan pengguna, Anda harus terlebih dahulu menonaktifkan identitas yang ditetapkan sistem.

    Aplikasi logika Anda kini terkait dengan identitas terkelola yang ditetapkan pengguna.

    Screenshot shows Consumption logic app with associated user-assigned identity.

  5. Sekarang ikuti langkah-langkah yang memberikan akses identitas tersebut ke sumber daya nanti dalam panduan ini.

Membuat identitas yang ditetapkan pengguna di templat ARM

Untuk mengotomatisasi pembuatan dan penyebaran sumber daya aplikasi logika, Anda dapat menggunakan Template ARM. Template ini mendukung Identitas yang ditetapkan pengguna untuk autentikasi.

Di bagian templat resources Anda, definisi sumber daya aplikasi logika Anda memerlukan item berikut:

  • Objek identity dengan properti type diatur ke UserAssigned

  • Objek userAssignedIdentities anak yang menentukan sumber daya dan nama yang ditetapkan pengguna

Contoh ini menunjukkan sumber daya aplikasi logika Konsumsi dan definisi alur kerja untuk permintaan HTTP PUT dengan objek non-parameter identity . Respons terhadap permintaan PUT dan operasi GET berikutnya juga mencakup objek ini identity :

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Jika templat Anda juga menyertakan definisi sumber daya identitas terkelola, Anda dapat membuat parameter objek identity. Contoh berikut menunjukkan bagaimana objek anak userAssignedIdentities mereferensikan userAssignedIdentityName variabel yang Anda tentukan di bagian templat variables Anda. Variabel ini mereferensikan ID sumber daya untuk identitas Anda yang ditetapkan pengguna.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Memberikan identitas akses ke sumber daya

Sebelum Anda bisa menggunakan identitas terkelola aplikasi logika untuk autentikasi, siapkan akses untuk identitas tersebut di sumber daya Azure di mana Anda berencana menggunakan identitas. Cara Anda mengatur akses bervariasi berdasarkan sumber daya yang Anda inginkan untuk diakses oleh identitas.

Catatan

Saat identitas terkelola memiliki akses ke sumber daya Azure dalam langganan yang sama, identitas hanya dapat mengakses sumber daya tersebut. Namun, dalam beberapa pemicu dan tindakan yang mendukung identitas terkelola, Anda harus terlebih dahulu memilih grup sumber daya Azure yang berisi sumber daya target. Jika identitas tidak memiliki akses di tingkat grup sumber daya, tidak ada sumber daya dalam grup yang terdaftar, meskipun memiliki akses ke sumber daya target.

Untuk menangani perilaku ini, Anda juga harus memberikan akses identitas ke grup sumber daya, bukan hanya sumber daya. Demikian juga, jika Anda harus memilih langganan sebelum Anda dapat memilih sumber daya target, Anda harus memberikan akses identitas ke langganan.

Dalam beberapa kasus, Anda mungkin memerlukan identitas untuk mendapatkan akses ke sumber daya terkait. Misalnya, Anda memiliki identitas terkelola untuk aplikasi logika yang memerlukan akses untuk memperbarui pengaturan aplikasi untuk aplikasi logika yang sama dari alur kerja. Anda harus memberikan akses identitas tersebut ke aplikasi logika terkait.

Misalnya, untuk mengakses akun penyimpanan Azure Blob dengan identitas terkelola Anda, Anda harus menyiapkan akses dengan menggunakan kontrol akses berbasis peran Azure (Azure RBAC) dan menetapkan peran yang sesuai untuk identitas tersebut ke akun penyimpanan. Langkah-langkah di bagian ini menjelaskan cara menyelesaikan tugas ini dengan menggunakan portal Azure dan templat Azure Resource Manager (templat ARM). Untuk Azure PowerShell, Azure CLI, dan Azure REST API, lihat dokumentasi berikut:

Alat Dokumentasi
Azure PowerShell Menambahkan penetapan peran
Azure CLI Menambahkan penetapan peran
REST API Azure Menambahkan penetapan peran

Namun, untuk mengakses Azure Key Vault dengan identitas terkelola Anda, Anda harus membuat kebijakan akses untuk identitas tersebut di Key Vault Anda dan menetapkan izin yang sesuai untuk identitas tersebut di Key Vault tersebut. Langkah-langkah selanjutnya di bagian ini menjelaskan cara menyelesaikan tugas ini dengan menggunakan portal Azure. Untuk templat Resource Manager, PowerShell, dan Azure CLI, lihat dokumentasi berikut ini:

Alat Dokumentasi
Templat Azure Resource Manager (templat ARM) Definisi sumber daya kebijakan akses Key Vault
Azure PowerShell Menetapkan kebijakan akses Key Vault
Azure CLI Menetapkan kebijakan akses Key Vault

Menetapkan akses berbasis peran identitas terkelola di portal Microsoft Azure

Untuk menggunakan identitas terkelola untuk autentikasi, beberapa sumber daya Azure, seperti akun penyimpanan Azure, mengharuskan Anda menetapkan identitas tersebut ke peran yang memiliki izin yang sesuai pada sumber daya target. Sumber daya Azure lainnya, seperti Azure Key Vaults, mengharuskan Anda membuat kebijakan akses yang memiliki izin yang sesuai pada sumber daya target untuk identitas tersebut.

  1. Di portal Microsoft Azure, buka sumber daya tempat Anda ingin menggunakan identitas.

  2. Pada menu sumber daya, pilih Kontrol akses (IAM)>Tambahkan>penetapan peran.

    Catatan

    Jika opsi Tambahkan penetapan peran dinonaktifkan, artinya Anda tidak memiliki izin untuk menetapkan peran. Untuk informasi selengkapnya, lihat Peran bawaan Microsoft Entra.

  3. Sekarang, tetapkan peran yang diperlukan ke identitas terkelola Anda. Pada tab Peran, tetapkan peran yang memberi identitas Anda akses yang diperlukan ke sumber daya saat ini.

    Untuk contoh ini, tetapkan peran yang diberi nama Kontributor Penyimpanan Data Blob yang mencakup akses tulis untuk blob dalam kontainer Azure Storage. Untuk informasi selengkapnya tentang peran kontainer penyimpanan tertentu, lihat Peran yang dapat mengakses blob dalam kontainer Azure Storage.

  4. Selanjutnya, pilih identitas terkelola tempat Anda ingin menetapkan peran. Di Tetapkan akses ke, pilih Identitas Terkelola>Tambahkan anggota.

  5. Berdasarkan jenis identitas terkelola Anda, pilih atau berikan nilai-nilai berikut:

    Jenis Instans layanan Azure Langganan Anggota
    Ditetapkan sistem Aplikasi Logika <Azure-subscription-name> <nama-aplikasi-logika-Anda>
    Ditetapkan-pengguna Tidak berlaku <Azure-subscription-name> <nama-identitas-yang-ditetapkan pengguna-Anda>

    Untuk informasi selengkapnya tentang menetapkan peran, lihat Menetapkan peran menggunakan portal Azure.

  6. Setelah selesai, Anda dapat menggunakan identitas tersebut untuk mengautentikasi akses untuk pemicu dan tindakan yang mendukung identitas terkelola.

Untuk informasi umum selengkapnya tentang tugas ini, lihat Menetapkan akses identitas terkelola ke sumber daya lain menggunakan Azure RBAC.

Membuat kebijakan akses di portal Azure

Untuk menggunakan identitas terkelola untuk autentikasi, beberapa sumber daya Azure, seperti Azure Key Vault, mengharuskan Anda membuat kebijakan akses yang memiliki izin yang sesuai pada sumber daya target untuk identitas tersebut. Sumber daya Azure lainnya, seperti akun penyimpanan Azure, mengharuskan Anda menetapkan identitas tersebut ke peran yang memiliki izin yang sesuai pada sumber daya target.

  1. Di portal Azure, buka sumber daya target di tempat Anda ingin menggunakan identitas tersebut. Contoh ini menggunakan Azure Key Vault sebagai sumber daya target.

  2. Pada menu sumber daya, pilih Kebijakan Akses>Membuat, yang membuka panel Buat kebijakan akses.

    Catatan

    Jika sumber daya tidak memiliki opsi Kebijakan akses, coba tetapkan penetapan peran.

    Screenshot shows Azure portal and key vault example with open pane named Access policies.

  3. Pada tab Izin, pilih izin wajib yang dibutuhkan identitas untuk mengakses sumber daya target.

    Misalnya, untuk menggunakan identitas dengan operasi rahasia List konektor Azure Key Vault yang dikelola, identitas memerlukan izin List. Jadi, di kolom Izin rahasia, pilih List.

    Screenshot shows Permissions tab with selected List permissions.

  4. Jika Anda sudah siap, pilih Berikutnya. Pada tab Principal, temukan dan pilih identitas terkelola, yang merupakan identitas yang ditetapkan pengguna dalam contoh ini.

  5. Lewati langkah Application opsional, pilih Next, dan selesaikan pembuatan kebijakan akses.

Bagian berikutnya akan membahas penggunaan identitas terkelola untuk mengautentikasi akses pemicu atau tindakan. Contoh ini berlanjut dengan langkah dari bagian sebelumnya, di mana Anda mengatur akses untuk identitas terkelola menggunakan RBAC dan tidak menggunakan Azure Key Vault sebagai contoh. Namun, langkah umum untuk menggunakan identitas terkelola untuk autentikasi adalah sama.

Mengautentikasi akses dengan identitas terkelola

Setelah Anda mengaktifkan identitas terkelola untuk aplikasi logika dan memberikan akses identitas tersebut ke sumber daya atau entitas target, Anda dapat menggunakan identitas tersebut dalam pemicu dan tindakan yang mendukung identitas terkelola.

Penting

Jika Anda memiliki fungsi Azure tempat Anda ingin menggunakan identitas yang ditetapkan sistem, aktifkan autentikasi untuk Azure Functions terlebih dahulu.

Langkah-langkah ini menunjukkan cara menggunakan identitas terkelola dengan pemicu atau tindakan melalui portal Microsoft Azure. Untuk menentukan identitas terkelola dalam definisi JSON yang mendasari pemicu atau tindakan, lihat Autentikasi identitas terkelola.

  1. Di portal Microsoft Azure, buka sumber daya aplikasi logika Anda.

  2. Jika Anda belum melakukannya, tambahkan pemicu atau tindakan yang mendukung identitas terkelola.

    Catatan

    Tidak semua dukungan operasi konektor memungkinkan Anda menambahkan jenis autentikasi. Untuk mengetahui informasi selengkapnya, lihat Jenis autentikasi untuk pemicu dan tindakan yang mendukung autentikasi.

  3. Pada pemicu atau tindakan yang Anda tambahkan, ikuti langkah-langkah berikut ini:

    • Operasi konektor bawaan yang mendukung autentikasi identitas terkelola

      1. Dari daftar Tambahkan parameter baru, tambahkan properti Autentikasi jika properti belum muncul.

        Screenshot shows Consumption workflow with built-in action and opened list named Add new parameter, with selected option for Authentication.

      2. Dari daftar Jenis autentikasi, pilih Identitas terkelola.

        Screenshot shows Consumption workflow with built-in action and opened list named Authentication type, with selected option for Managed identity.

      Untuk mengetahui informasi selengkapnya, lihat Contoh: Mengautentikasi pemicu atau tindakan bawaan dengan identitas terkelola.

    • Operasi konektor bawaan yang mendukung autentikasi identitas terkelola

      1. Di halaman pilihan penyewa, pilih Sambungkan dengan identitas terkelola, misalnya:

        Screenshot shows Consumption workflow with Azure Resource Manager action and selected option for Connect with managed identity.

      2. Pada halaman selanjutnya, untuk Nama koneksi, berikan nama untuk sambungan tersebut.

      3. Untuk jenis autentikasi, pilih salah satu opsi berikut berdasarkan konektor terkelola Anda:

        • Autentikasi tunggal: Konektor ini hanya mendukung satu jenis autentikasi. Dari daftar Identitas terkelola, pilih identitas terkelola yang diaktifkan saat ini, jika belum dipilih, lalu pilih Buat, misalnya:

          Screenshot shows Consumption workflow, connection name box, and selected option for system-assigned managed identity.

        • Multi-autentikasi: Konektor ini menampilkan beberapa jenis autentikasi, tetapi Anda masih dapat memilih hanya satu jenis. Dari daftar Jenis autentikasi, pilih Identitas Terkelola Logic Apps>Buat, misalnya:

          Screenshot shows Consumption workflow, connection name box, and selected option for Logic Apps Managed Identity.

        Untuk mengetahui informasi selengkapnya, lihat Contoh: Mengautentikasi pemicu atau tindakan konektor terkelola dengan identitas terkelola.

Contoh: Mengautentikasi pemicu atau tindakan bawaan dengan identitas terkelola

Pemicu atau tindakan HTTP dapat menggunakan identitas yang ditetapkan sistem yang Anda aktifkan pada sumber daya aplikasi logika. Secara umum, pemicu atau tindakan HTTP menggunakan properti ini untuk menentukan sumber daya atau entitas yang ingin Anda akses:

Properti Wajib Deskripsi
Metode Ya Metode HTTP yang digunakan oleh operasi yang ingin Anda jalankan
URI Ya Titik akhir URL untuk mengakses sumber daya atau entitas Azure target. Sintaks URI biasanya menyertakan ID sumber daya untuk sumber daya atau layanan Azure.
Header Tidak Nilai header apa pun yang Anda butuhkan atau ingin sertakan dalam permintaan keluar, seperti jenis konten
Kueri Tidak Setiap parameter kueri yang ingin atau perlu disertakan dalam permintaan. Misalnya, parameter kueri untuk operasi tertentu ataupun untuk versi API operasi yang ingin Anda jalankan.
Autentikasi Ya Jenis autentikasi yang digunakan untuk mengautentikasi akses ke sumber daya atau entitas target

Sebagai contoh spesifik, misalkan Anda ingin menjalankan operasi Blob Snapshot pada blob di akun Azure Storage tempat Anda sebelumnya menyiapkan akses untuk identitas Anda. Namun, konektor Azure Blob Storage tidak menawarkan operasi tersebut saat ini. Sebagai gantinya, Anda dapat menjalankan operasi ini dengan menggunakan tindakan HTTP atau operasi REST API Layanan Blob lainnya.

Penting

Untuk mengakses akun penyimpanan Azure di balik firewall menggunakan konektor Azure Blob dan identitas terkelola, pastikan Anda juga menyiapkan akun penyimpanan Anda dengan pengecualian yang memungkinkan akses oleh layanan Microsoft tepercaya.

Tindakan HTTP menentukan properti berikut untuk menjalankan operasi Blob Snapshot:

Properti Wajib Contoh nilai Deskripsi
Metode Ya PUT Metode HTTP yang digunakan operasi Blob Snapshot
URI Ya https://<storage-account-name>/<folder-name>/{name} ID sumber daya untuk file Azure Blob Storage di lingkungan Azure Global (publik), yang menggunakan sintaks ini
Header Untuk Azure Storage x-ms-blob-type = BlockBlob

x-ms-version = 2019-02-02

x-ms-date = @{formatDateTime(utcNow(),'r')}

 Nilai header x-ms-blob-type, x-ms-version, dan x-ms-date diperlukan untuk operasi Azure Storage.

Penting: Dalam permintaan pemicu dan tindakan HTTP keluar untuk Azure Storage, header memerlukan properti x-ms-version dan versi API untuk operasi yang ingin Anda jalankan. x-ms-date harus merupakan tanggal saat ini. Jika tidak, alur kerja Anda gagal dengan kesalahan 403 FORBIDDEN. Untuk mendapatkan tanggal saat ini dalam format yang diperlukan, Anda dapat menggunakan ekspresi dalam nilai contoh.

Untuk informasi selengkapnya, lihat dokumentasi berikut ini:

- Header permintaan - Blob Snapshot
- Penerapan versi untuk layanan Azure Storage
Kueri Hanya untuk operasi Blob Snapshot comp = snapshot Nama dan nilai parameter kueri untuk operasi.

Contoh berikut menunjukkan sampel tindakan HTTP dengan semua nilai properti yang dijelaskan sebelumnya untuk digunakan dengan operasi Snapshot Blob:

Screenshot shows Azure portal, Consumption workflow, and HTTP action set up to access resources.

  1. Setelah Anda menambahkan tindakan HTTP, tambahkan properti Autentikasi ke tindakan HTTP. Dari daftar Tambahkan parameter baru, pilih Autentikasi.

    Screenshot shows Consumption workflow with HTTP action and opened Add new parameter list with selected property named Authentication.

    Catatan

    Tidak semua dukungan pemicu dan tindakan memungkinkan Anda menambahkan jenis autentikasi. Untuk mengetahui informasi selengkapnya, lihat Jenis autentikasi untuk pemicu dan tindakan yang mendukung autentikasi.

  2. Dari daftar Jenis autentikasi, pilih Identitas terkelola.

    Screenshot shows Consumption workflow, HTTP action, and Authentication property with selected option for Managed identity.

  3. Dari daftar identitas terkelola, pilih dari opsi yang tersedia berdasarkan skenario Anda.

    • Jika Anda menyiapkan identitas yang ditetapkan sistem, pilih Identitas terkelola yang ditetapkan sistem jika belum dipilih.

      Screenshot shows Consumption workflow, HTTP action, and Managed identity property with selected option for System-assigned managed identity.

    • Jika Anda menyiapkan identitas yang ditetapkan pengguna, pilih identitas tersebut jika belum dipilih.

      Screenshot shows Consumption workflow, HTTP action, and Managed identity property with selected user-assigned identity.

    Contoh ini berlanjut dengan Identitas terkelola yang ditetapkan sistem.

  4. Pada beberapa pemicu dan tindakan, properti Audiens juga muncul bagi Anda untuk menetapkan ID sumber daya target. Tetapkan properti Audiens ke ID sumber daya untuk sumber daya atau layanan target. Jika tidak, properti Audiens akan secara dafault menggunakan ID sumber daya https://management.azure.com/ yang merupakan ID sumber daya untuk Azure Resource Manager.

    Misalnya, jika Anda ingin mengautentikasi akses ke Sumber daya Key Vault di cloud Azure global, maka Anda harus menyiapkan properti Audiens ke ID sumber daya yang sama dengan berikut ini: https://vault.azure.net. Perhatikan bahwa ID sumber daya tersebut tidak memiliki garis miring penutup. Faktanya, menyertakan garis miring penutup mungkin menimbulkan kesalahan 400 Bad Request atau kesalahan 401 Unauthorized.

    Penting

    Pastikan ID sumber daya target sama persis dengan nilai yang diharapkan ID Microsoft Entra, termasuk garis miring berikutnya yang diperlukan. Misalnya, ID sumber daya untuk semua akun Azure Blob Storage memerlukan garis miring. Namun, ID sumber daya untuk akun penyimpanan tertentu tidak memerlukan garis miring. Periksa ID sumber daya untuk layanan Azure yang mendukung ID Microsoft Entra.

    Contoh ini menetapkan properti Audiens ke https://storage.azure.com/ agar token akses yang digunakan untuk autentikasi valid untuk semua akun penyimpanan. Namun, Anda juga dapat menentukan URL layanan root, https://<your-storage-account>.blob.core.windows.net, untuk akun penyimpanan tertentu.

    Screenshot shows Consumption workflow, HTTP action, and Audience

    Untuk informasi selengkapnya tentang mengotorisasi akses dengan ID Microsoft Entra untuk Azure Storage, lihat dokumentasi berikut ini:

  5. Lanjutkan membangun alur kerja dengan cara yang Anda inginkan.

Contoh: Mengautentikasi pemicu atau tindakan konektor terkelola dengan identitas terkelola

Konektor terkelola Azure Resource Manager memiliki tindakan bernama Baca sumber daya, yang dapat menggunakan identitas terkelola yang Anda aktifkan pada sumber daya aplikasi logika. Contoh ini memperlihatkan cara menggunakan identitas terkelola yang ditetapkan sistem.

  1. Setelah Anda menambahkan tindakan ke alur kerja dan memilih penyewa Microsoft Entra Anda, pilih Koneksi dengan identitas terkelola.

    Screenshot shows Consumption workflow, Azure Resource Manager action, and selected option for Connect with managed identity.

  2. Pada halaman nama koneksi, berikan nama untuk koneksi, dan pilih identitas terkelola yang ingin Anda gunakan.

    Tindakan Azure Resource Manager adalah tindakan autentikasi tunggal, sehingga kotak informasi koneksi memperlihatkan daftar Identitas terkelola yang secara otomatis memilih identitas terkelola yang saat ini diaktifkan pada sumber daya aplikasi logika. Jika Anda mengaktifkan identitas terkelola yang ditetapkan sistem, daftar Identitas terkelola memilih Identitas terkelola yang ditetapkan sistem. Jika Anda telah mengaktifkan identitas terkelola yang ditetapkan pengguna sebagai gantinya, daftar akan memilih identitas tersebut.

    Jika Anda menggunakan pemicu atau tindakan multi-autentikasi, seperti Azure Blob Storage, kotak informasi koneksi memperlihatkan daftar Jenis autentikasi yang menyertakan opsi Identitas Terkelola Logic Apps di antara jenis autentikasi lainnya.

    Pada contoh ini, Identitas terkelola yang ditetapkan sistem adalah satu-satunya pilihan yang tersedia.

    Screenshot shows Consumption workflow and Azure Resource Manager action with connection name entered and selected option for System-assigned managed identity.

    Catatan

    Jika identitas terkelola tidak diaktifkan saat Anda mencoba membuat koneksi, mengubah koneksi, atau dihapus saat koneksi yang dikelola identitasnya masih ada, Anda mendapatkan pesan kesalahan bahwa Anda harus mengaktifkan identitas dan memberikan akses ke sumber daya target.

  3. Setelah Anda siap, pilih Kirim.

  4. Setelah desainer berhasil membuat koneksi, desainer dapat mengambil nilai dinamis, konten, atau skema apa pun dengan menggunakan autentikasi identitas terkelola.

  5. Lanjutkan membangun alur kerja dengan cara yang Anda inginkan.

Definisi sumber daya aplikasi logika dan koneksi yang menggunakan identitas terkelola

Koneksi yang mengaktifkan dan menggunakan identitas terkelola adalah jenis koneksi khusus yang hanya berfungsi dengan identitas terkelola. Saat runtime, koneksi menggunakan identitas terkelola yang diaktifkan pada sumber daya aplikasi logika. Saat runtime, layanan Azure Logic Apps memeriksa jika ada pemicu dan tindakan konektor terkelola dalam alur kerja aplikasi logika diatur untuk menggunakan identitas terkelola dan bahwa semua izin yang diperlukan diatur untuk menggunakan identitas terkelola guna mengakses sumber daya target yang ditentukan oleh pemicu dan tindakan. Jika berhasil, Azure Logic Apps mengambil token Microsoft Entra yang terkait dengan identitas terkelola dan menggunakan identitas tersebut untuk mengautentikasi akses ke sumber daya target dan melakukan operasi yang dikonfigurasi dalam pemicu dan tindakan.

Dalam sumber daya aplikasi logika Konsumsi, konfigurasi koneksi disimpan di objek definisi parameters sumber daya aplikasi logika, yang berisi $connections objek yang menyertakan penunjuk ke ID sumber daya koneksi bersama dengan ID sumber daya identitas, jika identitas yang ditetapkan pengguna diaktifkan.

Contoh ini menunjukkan seperti apa konfigurasi terlihat saat aplikasi logika mengaktifkan identitas terkelola yang ditetapkan sistem:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Contoh ini menunjukkan seperti apa konfigurasi terlihat saat aplikasi logika mengaktifkan identitas terkelola yang ditetapkan pengguna:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Templat ARM untuk koneksi API dan identitas terkelola

Jika Anda menggunakan templat ARM untuk mengotomatiskan penyebaran, dan alur kerja Anda menyertakan koneksi API, yang dibuat oleh konektor terkelola seperti Office 365 Outlook, Azure Key Vault, dan sebagainya yang menggunakan identitas terkelola, Anda memiliki langkah tambahan untuk diambil.

Dalam templat ARM, definisi sumber daya konektor yang mendasarinya berbeda berdasarkan apakah Anda memiliki aplikasi logika Consumption atau Standard dan apakah konektor menampilkan opsi autentikasi tunggal atau multi-autentikasi.

Contoh berikut berlaku untuk sumber daya aplikasi logika Konsumsi dan menunjukkan bagaimana definisi sumber daya konektor yang mendasar berbeda antara konektor autentikasi tunggal, seperti Azure Automation, dan konektor multi-autentikasi, seperti Azure Blob Storage.

Autentikasi tunggal

Contoh ini menunjukkan definisi sumber daya koneksi yang mendasari untuk tindakan Azure Automation di aplikasi logika Consumption yang menggunakan identitas terkelola di mana definisi menyertakan atribut:

  • Properti kind diatur ke V1 untuk aplikasi logika Consumption.
  • Properti parameterValueType diatur ke Alternative.
{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_azureautomation_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_azureautomation_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Multi-autentikasi

Contoh ini menunjukkan definisi sumber daya koneksi yang mendasari untuk tindakan Azure Blob Storage di aplikasi logika Consumption yang menggunakan identitas terkelola di mana definisi menyertakan atribut berikut:

  • Properti kind diatur ke V1 untuk aplikasi logika Consumption.
  • Objek tersebutparameterValueSet menyertakan properti yang name diatur ke managedIdentityAuth dan properti yang values diatur ke objek kosong.
{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_azureblob_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureblob')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_azureblob_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        },
        "parameterValueType": "Alternative"
    }
}

Menyiapkan kontrol lanjutan atas autentikasi koneksi API

Saat alur kerja Anda menggunakan koneksi API, yang dibuat oleh konektor terkelola seperti Office 365 Outlook, Azure Key Vault, dan sebagainya, layanan Azure Logic Apps berkomunikasi dengan sumber daya target, seperti akun email, Key Vault, dan sebagainya, menggunakan dua koneksi:

Conceptual diagram showing first connection with authentication between logic app and token store plus second connection between token store and target resource.

  • Koneksi #1 diatur dengan autentikasi untuk penyimpanan token internal.

  • Koneksi #2 diatur dengan autentikasi untuk sumber daya target.

Dalam sumber daya aplikasi logika Consumption, koneksi #1 diabstrakan dari Anda tanpa opsi konfigurasi apa pun. Di jenis sumber daya aplikasi logika Standard, Anda memiliki kontrol lebih besar atas aplikasi logika Anda. Secara default, koneksi #1 secara otomatis diatur untuk menggunakan identitas yang ditetapkan sistem.

Namun, jika skenario Anda memerlukan kontrol yang lebih baik atas autentikasi koneksi API, Anda dapat secara opsional mengubah autentikasi untuk koneksi #1 dari identitas default yang ditetapkan sistem ke identitas yang ditetapkan pengguna yang telah Anda tambahkan ke aplikasi logika Anda. Autentikasi ini berlaku untuk setiap koneksi API, sehingga Anda dapat mencampur identitas yang ditetapkan sistem dan yang ditetapkan pengguna di koneksi yang berbeda ke sumber daya target yang sama.

Di file koneksi aplikasi logika Standard.json Anda, yang menyimpan informasi tentang setiap koneksi API, setiap definisi koneksi memiliki dua authentication bagian, misalnya:

"keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  • Bagian authentication pertama dipetakan ke koneksi #1. Bagian ini menjelaskan autentikasi yang digunakan untuk berkomunikasi dengan toko token internal. Di masa lalu, bagian ini selalu diatur ke ManagedServiceIdentity aplikasi yang menyebar ke Azure dan tidak memiliki opsi yang dapat dikonfigurasi.

  • Bagian authentication kedua dipetakan ke koneksi #2. Bagian ini menjelaskan bahwa autentikasi yang digunakan untuk berkomunikasi dengan sumber daya target dapat bervariasi, berdasarkan jenis autentikasi yang Anda pilih untuk koneksi tersebut.

Mengapa mengubah autentikasi untuk penyimpanan token?

Dalam beberapa skenario, Anda mungkin ingin berbagi dan menggunakan koneksi API yang sama di beberapa aplikasi logika, tetapi tidak menambahkan identitas yang ditetapkan sistem untuk setiap aplikasi logika ke kebijakan akses sumber daya target.

Dalam skenario lain, Anda mungkin tidak ingin mengatur identitas yang ditetapkan sistem di aplikasi logika Anda sepenuhnya, sehingga Anda dapat mengubah autentikasi menjadi identitas yang ditetapkan pengguna dan menonaktifkan identitas yang ditetapkan sistem sepenuhnya.

Mengubah autentikasi untuk penyimpanan token

  1. Di portal Azure, buka sumber daya aplikasi logika Standard Anda.

  2. Pada menu sumber daya, di bawah Workflows, pilih Connections.

  3. Pada panel Koneksi, pilih Tampilan JSON.

    Screenshot showing the Azure portal, Standard logic app resource,

  4. Di editor JSON, temukan managedApiConnections bagian, yang berisi koneksi API di semua alur kerja di sumber daya aplikasi logika Anda.

  5. Temukan koneksi di mana Anda ingin menambahkan identitas terkelola yang ditetapkan pengguna. Misalnya, seharusnya alur kerja Anda memiliki koneksi Azure Key Vault:

    "keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity"
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  6. Dalam definisi koneksi, selesaikan langkah-langkah berikut:

    1. Temukan bagian pertamaauthentication. Jika tidak ada identity properti yang sudah ada di bagian ini authentication, aplikasi logika secara implisit menggunakan identitas yang ditetapkan sistem.

    2. identity Tambahkan properti dengan menggunakan contoh pada langkah ini.

    3. Atur nilai properti ke ID sumber daya untuk identitas yang ditetapkan pengguna.

    "keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
      // Add "identity" property here
      "identity": "/subscriptions/{Azure-subscription-ID}/resourcegroups/{resource-group-name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identity-resource-ID}" 
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  7. Di portal Azure, buka sumber daya target, dan berikan akses ke identitas terkelola yang ditetapkan pengguna, berdasarkan kebutuhan sumber daya target.

    Misalnya, untuk Azure Key Vault, tambahkan identitas tersebut ke kebijakan akses Key Vault. Untuk Azure Blob Storage, tetapkan peran yang diperlukan untuk identitas ke akun penyimpanan.

Nonaktifkan identitas terkelola

Untuk berhenti menggunakan identitas terkelola untuk autentikasi, pertama-tama hapus akses identitas ke sumber daya target. Selanjutnya, nonaktifkan identitas yang ditetapkan sistem atau hapus identitas yang ditetapkan pengguna.

Saat Anda menonaktifkan identitas terkelola pada sumber daya aplikasi logika, Anda menghapus kemampuan identitas tersebut untuk meminta akses ke sumber daya Azure tempat identitas memiliki akses.

Catatan

Jika Anda menonaktifkan identitas yang ditetapkan sistem, setiap dan semua koneksi yang digunakan oleh alur kerja dalam alur kerja aplikasi logika itu tidak akan berfungsi saat runtime, bahkan jika Anda segera mengaktifkan identitas lagi. Perilaku ini terjadi karena menonaktifkan identitas akan menghapus ID objek. Setiap kali Anda mengaktifkan identitas, Azure menghasilkan identitas dengan ID objek yang berbeda dan unik. Untuk mengatasi masalah tersebut, Anda harus membuat ulang koneksi sehingga ID objek saat ini akan digunakan untuk identitas yang ditetapkan sistem saat ini.

Cobalah sebaik mungkin untuk tidak menonaktifkan identitas yang ditetapkan sistem. Jika Anda ingin menghapus akses identitas ke sumber daya Azure, hapus tugas peran identitas dari sumber daya target. Jika Anda menghapus sumber daya aplikasi logika, Azure secara otomatis menghapus identitas terkelola dari ID Microsoft Entra.

Langkah-langkah di bagian ini mencakup menggunakan portal Microsoft Azure dan templat Azure Resource Manager (templat ARM). Untuk Azure PowerShell, Azure CLI, dan Azure REST API, lihat dokumentasi berikut:

Alat Dokumentasi
Azure PowerShell 1. Hapus penetapan peran.
2. Hapus identitas yang ditetapkan pengguna.
Azure CLI 1. Hapus penetapan peran.
2. Hapus identitas yang ditetapkan pengguna.
REST API Azure 1. Hapus penetapan peran.
2. Hapus identitas yang ditetapkan pengguna.

Menonaktifkan identitas terkelola di portal Microsoft Azure

Guna menghapus akses untuk identitas terkelola, hapus penetapan peran identitas dari sumber daya target, lalu nonaktifkan identitas terkelola.

Hapus penetapan peran

Langkah-langkah berikut menghapus akses ke sumber daya target dari identitas terkelola:

  1. Di portal Microsoft Azure, buka sumber daya Azure target tempat Anda ingin menghapus akses untuk identitas terkelola.

  2. Pilih Layanan kontrol akses (IAM) dari menu sumber daya target. Di bagian toolbar, pilih Penetapan peran.

  3. Dalam daftar peran, pilih identitas terkelola yang ingin Anda hapus. Pada toolbar, pilih Hapus.

    Tip

    Jika opsi Hapus tidak dapat dilakukan, kemungkinan besar Anda tidak memiliki izin. Untuk informasi selengkapnya tentang izin yang memungkinkan Anda mengelola peran untuk sumber daya, lihat Izin peran administrator di ID Microsoft Entra.

Menonaktifkan identitas terkelola pada sumber daya aplikasi logika

  1. Di portal Microsoft Azure, buka sumber daya aplikasi logika Anda.

  2. Pada menu navigasi aplikasi logika, di Pengaturan, pilih Identitas, lalu ikuti langkah-langkah untuk identitas Anda:

    • Pilih Sistem yang ditetapkan >Aktifkan>Simpan. Saat Azure meminta Anda untuk mengonfirmasi, pilih Ya.

    • Pilih Pengguna yang ditetapkan dan identitas terkelola, lalu pilih Hapus. Saat Azure meminta Anda untuk mengonfirmasi, pilih Ya.

Menonaktifkan identitas terkelola di templat ARM

Jika Anda telah membuat identitas terkelola aplikasi logika dengan menggunakan templat ARM, atur properti anak type dari objek identity ke None.

"identity": {
   "type": "None"
}

Langkah berikutnya