Membuat aplikasi Azure Active Directory dan perwakilan layanan yang dapat mengakses sumber daya

Dalam artikel ini, Anda akan mempelajari cara membuat aplikasi Azure Active Directory (Azure AD) dan perwakilan layanan yang dapat digunakan dengan kontrol akses berbasis peran. Saat Anda mendaftarkan aplikasi baru di Azure AD, perwakilan layanan secara otomatis dibuat untuk pendaftaran aplikasi. Perwakilan layanan adalah identitas aplikasi di penyewa Azure AD. Akses ke sumber daya dibatasi oleh peran yang ditetapkan untuk perwakilan layanan, yang memberi Anda kontrol atas sumber daya mana yang dapat diakses dan pada tingkat mana. Untuk alasan keamanan, selalu disarankan untuk menggunakan perwakilan layanan dengan alat otomatis daripada mengizinkan mereka masuk dengan identitas pengguna.

Dalam artikel ini, Anda akan membuat satu aplikasi penyewa di portal Azure. Contoh ini berlaku untuk aplikasi lini bisnis yang digunakan dalam satu organisasi. Anda juga dapat menggunakan Azure PowerShell atau Azure CLI untuk membuat perwakilan layanan.

Penting

Alih-alih membuat perwakilan layanan, pertimbangkan untuk menggunakan identitas terkelola untuk sumber daya Azure untuk identitas aplikasi Anda. Jika kode Anda berjalan pada layanan yang mendukung identitas terkelola dan mengakses sumber daya yang mendukung autentikasi Microsoft Azure Active Directory, identitas terkelola adalah opsi yang lebih baik untuk Anda. Untuk mempelajari selengkapnya tentang identitas terkelola untuk sumber daya Azure, termasuk layanan mana yang saat ini mendukungnya, lihat Apa itu identitas terkelola untuk sumber daya Azure?.

Untuk informasi selengkapnya tentang hubungan antara pendaftaran aplikasi, objek aplikasi, dan perwakilan layanan, baca Aplikasi dan objek perwakilan layanan di Microsoft Azure Active Directory.

Prasyarat

Untuk mendaftarkan aplikasi di penyewa Azure AD, Anda memerlukan:

• Akun pengguna Azure AD. Jika Anda belum memilikinya, Anda dapat membuat akun secara gratis.

Izin yang diperlukan untuk mendaftarkan aplikasi

Anda harus memiliki izin yang memadai untuk mendaftarkan aplikasi dengan penyewa Microsoft Azure Active Directory Anda, dan memberi aplikasi peran dalam langganan Azure Anda. Untuk menyelesaikan tugas-tugas ini, Anda memerlukan Application.ReadWrite.Allizin.

Mendaftarkan aplikasi dengan Microsoft Azure Active Directory dan membuat perwakilan layanan

1. Masuk ke portal Microsoft Azure.

2. Cari dan Pilih Azure Active Directory.

3. Pilih Pendaftaran aplikasi, lalu pilih Pendaftaran baru.

4. Beri nama aplikasi, misalnya "example-app".

5. Pilih jenis akun yang didukung, yang menentukan siapa yang bisa menggunakan aplikasi.

6. Di bagian Alihkan URI, pilih Web untuk jenis aplikasi yang ingin Anda buat. Masukkan URI tempat token akses dikirim.

7. Pilih Daftar.

   

Anda sudah membuat aplikasi Microsoft Azure Active Directory dan perwakilan layanan.

Menetapkan peran ke aplikasi

Untuk mengakses sumber daya di langganan Anda, peran ke aplikasi harus ditetapkan. Tentukan peran mana yang menawarkan izin yang tepat untuk aplikasi. Untuk mempelajari tentang peran yang tersedia, lihat Peran bawaan Azure.

Anda dapat menetapkan cakupan di tingkat langganan, grup sumber daya, atau sumber daya. Izin diturunkan ke tingkat cakupan yang lebih rendah.

1. Masuk ke portal Microsoft Azure.

2. Pilih tingkat cakupan yang ingin Anda tetapkan aplikasinya. Misalnya, untuk menetapkan peran di cakupan langganan, cari dan pilih Langganan. Jika Anda tidak melihat langganan yang Anda cari, pilih filter langganan global. Pastikan langganan yang Anda inginkan dipilih untuk penyewa.

3. Pilih Kontrol Akses (IAM) .

4. Pilih Tambahkan, lalu pilih Tambahkan penetapan peran.

5. Di tab Peran, pilih peran yang ingin Anda tetapkan ke aplikasi dalam daftar. Misalnya, untuk memungkinkan aplikasi menjalankan tindakan seperti reboot, memulai dan menghentikan instans, pilih peran Kontributor .

6. Pilih Berikutnya.

7. Pada tab Anggota . Pilih Tetapkan akses ke, lalu pilih Pengguna, grup, atau perwakilan layanan

8. Pilih Pilih anggota. Secara default, aplikasi Microsoft Azure Active Directory tidak ditampilkan pada opsi yang tersedia. Untuk menemukan aplikasi Anda, Cari dengan namanya.

9. Pilih tombol Pilih , lalu pilih Tinjau + tetapkan.

   

Perwakilan layanan Anda sudah disiapkan. Anda dapat mulai menggunakannya untuk menjalankan skrip atau aplikasi Anda. Untuk mengelola perwakilan layanan Anda (izin, izin yang disetujui pengguna, melihat pengguna mana yang telah menyetujui, meninjau izin, melihat informasi masuk, dan lainnya), buka Aplikasi perusahaan.

Bagian berikutnya memperlihatkan cara mendapatkan nilai yang diperlukan saat masuk secara terprogram.

Masuk ke aplikasi

Saat masuk secara terprogram, berikan ID penyewa dan ID aplikasi dalam permintaan autentikasi Anda. Anda juga memerlukan sertifikat atau kunci autentikasi. Untuk mendapatkan ID direktori (penyewa) dan ID aplikasi:

1. Cari pilih Azure Active Directory.
2. Dari Pendaftaran aplikasi di Microsoft Azure Active Directory, pilih aplikasi Anda.
3. Pada halaman gambaran umum aplikasi, salin nilai ID Direktori (penyewa) dan simpan di kode aplikasi Anda.
4. Salin nilai ID Aplikasi (klien) dan simpan dalam kode aplikasi Anda.

Siapkan autentikasi

Ada dua jenis autentikasi yang tersedia untuk perwakilan layanan: autentikasi berbasis kata sandi (rahasia aplikasi) dan autentikasi berbasis sertifikat. Sebaiknya gunakan sertifikat, tetapi Anda juga dapat membuat rahasia aplikasi.

Opsi 1 (disarankan): Membuat dan mengunggah sertifikat yang ditandatangani sendiri

Anda dapat menggunakan sertifikat yang sudah ada jika Anda memilikinya. Secara opsional, Anda dapat membuat sertifikat yang ditandatangani sendiri untuk tujuan pengujian saja. Untuk membuat sertifikat yang ditandatangani sendiri, buka Windows PowerShell dan jalankan New-SelfSignedCertificate dengan parameter berikut untuk membuat sertifikat di penyimpanan sertifikat pengguna di komputer Anda:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Ekspor sertifikat ini ke file yang menggunakan MMC snap-in Kelola Sertifikat Pengguna yang bisa diakses dari Panel Kontrol Windows.

1. Pilih Jalankan dari menu Mulai, lalu masukkan certmgr.msc. Alat Manajer Sertifikat untuk pengguna saat ini muncul.
2. Untuk melihat sertifikat Anda, di bagian Sertifikat - Pengguna Saat Ini di panel kiri, perluas direktori Pribadi.
3. Klik kanan pada sertifikat yang Anda buat, pilih Semua tugas-Ekspor>.
4. Ikuti wizard Ekspor Sertifikat.

Untuk mengunggah sertifikat:

1. Cari dan pilih Microsoft Azure Active Directory.
2. Dari Pendaftaran aplikasi di Microsoft Azure Active Directory, pilih aplikasi Anda.
3. Pilih Sertifikat & rahasia.
4. Pilih Sertifikat, lalu pilih Unggah sertifikat lalu pilih sertifikat (sertifikat yang sudah ada atau sertifikat yang ditandatangani sendiri yang Anda ekspor).
5. Pilih Tambahkan.

Setelah mendaftarkan sertifikat dengan aplikasi Anda di portal pendaftaran aplikasi, aktifkan kode aplikasi klien untuk menggunakan sertifikat.

Opsi 2: Membuat rahasia aplikasi baru

Jika Anda memilih untuk tidak menggunakan sertifikat, Anda dapat membuat rahasia aplikasi baru.

1. Cari dan pilih Microsoft Azure Active Directory.
2. Pilih Pendaftaran aplikasi dan pilih aplikasi Anda dari daftar.
3. Pilih Sertifikat & rahasia.
4. Pilih Rahasia klien, lalu Pilih Rahasia klien baru.
5. Berikan deskripsi rahasia, dan durasi.
6. Pilih Tambahkan.

Setelah Anda menyimpan rahasia klien, nilai rahasia klien ditampilkan. Salin nilai ini karena Anda tidak dapat mengambil kunci nanti. Anda akan memberikan nilai kunci dengan ID aplikasi untuk masuk sebagai aplikasi. Simpan nilai kunci di tempat aplikasi Anda dapat mengambilnya.

Mengonfigurasi kebijakan akses pada sumber daya

Anda mungkin perlu mengonfigurasi izin tambahan pada sumber daya yang perlu diakses aplikasi Anda. Misalnya, Anda juga harus memperbarui kebijakan akses key vault untuk memberi aplikasi Anda akses ke kunci, rahasia, atau sertifikat.

Untuk mengonfigurasi kebijakan akses:

1. Masuk ke portal Microsoft Azure.

2. Pilih brankas kunci Anda dan pilih Kebijakan akses.

3. Pilih Tambahkan kebijakan akses, lalu pilih izin kunci, rahasia, dan sertifikat yang ingin Anda berikan ke aplikasi Anda. Pilih perwakilan layanan yang Anda buat sebelumnya.

4. Pilih Tambahkan untuk menambahkan kebijakan akses.

5. Simpan.

   

Langkah berikutnya

• Pelajari cara menggunakan Azure PowerShell atau Azure CLI untuk membuat perwakilan layanan.
• Untuk mempelajari tentang menentukan kebijakan keamanan, lihat Kontrol akses berbasis peran Azure (Azure RBAC).
• Untuk daftar tindakan yang tersedia yang dapat diberikan atau ditolak oleh pengguna, lihat Operasi Penyedia Sumber Daya Azure Resource Manager.
• Untuk informasi tentang bekerja dengan pendaftaran aplikasi menggunakan Microsoft Graph, lihat referensi API Aplikasi.