Metode autentikasi menggunakan Azure Active Directory
Penting
Ini adalah dokumentasi Azure Sphere (Warisan). Azure Sphere (Warisan) dihentikan pada 27 September 2027, dan pengguna harus bermigrasi ke Azure Sphere (Terintegrasi) saat ini. Gunakan pemilih Versi yang terletak di atas TOC untuk melihat dokumentasi Azure Sphere (Terintegrasi).
Azure Sphere Public API (PAPI) mendukung beberapa metode autentikasi dan otorisasi pengguna di Azure Active Directory (AAD).
Dengan Azure Active Directory, token aplikasi dapat digunakan untuk mengautentikasi dan memberikan akses ke sumber daya Azure tertentu dari aplikasi pengguna, layanan, atau alat otomatisasi dengan menggunakan perwakilan layanan atau metode identitas terkelola untuk autentikasi.
Penting
Saat membuat perwakilan layanan, Anda harus melindungi kredensial aplikasi yang dihasilkan seperti rahasia klien atau sertifikat klien. Pastikan Anda tidak menyertakan kredensial aplikasi dalam kode Anda atau periksa kredensial ke kontrol sumber Anda. Sebagai alternatif, pertimbangkan untuk menggunakan identitas terkelola untuk menghindari kebutuhan untuk menggunakan kredensial.
Ilustrasi berikut menunjukkan metode autentikasi yang didukung menggunakan Azure Active Directory:
Metode perwakilan layanan
Perwakilan layanan Azure dapat disiapkan untuk menggunakan rahasia klien atau sertifikat klien untuk autentikasi. Perwakilan layanan adalah akun yang tidak terkait dengan pengguna tertentu, tetapi dapat memiliki izin yang ditetapkan melalui peran yang telah ditentukan sebelumnya. Mengautentikasi dengan perwakilan layanan adalah cara terbaik untuk menulis skrip atau program yang aman, memungkinkan Anda menerapkan pembatasan izin dan informasi kredensial statis yang disimpan secara lokal. Untuk informasi selengkapnya, lihat Perwakilan layanan Azure.
Ada dua opsi yang tersedia untuk perwakilan layanan: rahasia klien dan sertifikat klien. Untuk informasi selengkapnya, lihat Metode autentikasi perwakilan layanan.
Metode identitas terkelola
Identitas terkelola Azure juga dapat digunakan untuk berkomunikasi dengan layanan Azure Sphere Public API . Identitas terkelola didukung di berbagai layanan Azure. Manfaat menggunakan identitas terkelola untuk metode autentikasi sumber daya Azure adalah Anda tidak perlu mengelola rahasia klien atau sertifikat klien apa pun. Untuk informasi selengkapnya, lihat Identitas terkelola untuk metode sumber daya.
Metode identitas pengguna
Menggunakan metode ini Anda tidak perlu mengautentikasi menggunakan penyewa Azure Sphere. Anda dapat masuk menggunakan identitas pengguna Azure Active Directory. Untuk informasi selengkapnya, lihat Metode autentikasi pengguna.
Menambahkan ID Aplikasi API Publik Azure Sphere ke penyewa Azure Anda
Pertama-tama Anda perlu menambahkan ID Aplikasi API Publik Azure Sphere ke penyewa Azure Anda menggunakan penyiapan satu kali:
Catatan
- Gunakan akun Administrator Global untuk penyewa Azure Active Directory (Azure AD) Anda untuk menjalankan perintah ini.
- Nilai untuk
AppIdparameter bersifat statis. - Sebaiknya gunakan
Azure Sphere Public APIagar-DisplayNamenama tampilan umum dapat digunakan di seluruh penyewa.
Buka jendela Prompt Perintah Windows PowerShell yang ditinggikan (jalankan Windows PowerShell sebagai administrator) dan jalankan perintah berikut untuk menginstal modul Azure AD Powershell:
Install-Module AzureADMasuk ke Azure AD PowerShell dengan akun admin. Tentukan parameter untuk diautentikasi
-TenantIdsebagai perwakilan layanan:Connect-AzureAD -TenantId <Azure Active Directory TenantID><Azure Active Directory TenantID> mewakili TenantID direktori Azure Active. Untuk informasi selengkapnya, lihat Cara menemukan ID penyewa Azure Active Directory Anda.
Buat perwakilan layanan dan sambungkan ke
Azure Sphere Public APIaplikasi dengan menentukan ID Aplikasi API Publik Azure Sphere seperti yang dijelaskan di bawah ini:New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"