Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Tantangan umum bagi pengembang adalah manajemen rahasia, info masuk, sertifikat, dan kunci yang digunakan untuk mengamankan komunikasi antara berbagai layanan. Penanganan rahasia dan sertifikat secara manual adalah sumber masalah keamanan dan pemadaman yang diketahui. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola info masuk. Aplikasi dapat menggunakan identitas terkelola untuk mendapatkan token Microsoft Entra tanpa harus mengelola kredensial apa pun.
Apa itu identitas terkelola?
Pada tingkat tinggi, ada dua jenis identitas: identitas manusia dan mesin/bukan manusia. Identitas mesin/non-manusia terdiri dari identitas perangkat dan beban kerja. Dalam Microsoft Entra, identitas beban kerja adalah aplikasi, prinsipal layanan, dan identitas terkelola. Untuk informasi selengkapnya tentang identitas beban kerja, lihat identitas beban kerja.
Identitas terkelola adalah identitas yang dapat ditetapkan ke sumber daya komputasi Azure (Komputer Virtual (VM), Virtual Machine Scale Set (VMSS), Kluster Service Fabric, kluster Azure Kubernetes) atau platform hosting Aplikasi apa pun yang didukung oleh Azure. Setelah identitas terkelola ditetapkan pada sumber daya komputasi, identitas tersebut dapat diotorisasi, secara langsung atau tidak langsung, untuk mengakses sumber daya dependensi hilir, seperti akun penyimpanan, database SQL, CosmosDB, dan sebagainya. Identitas terkelola menggantikan rahasia seperti kunci akses atau kata sandi. Selain itu, identitas terkelola dapat menggantikan sertifikat atau bentuk autentikasi lainnya untuk dependensi layanan ke layanan.
Video berikut menunjukkan cara menggunakan identitas terkelola:
Berikut adalah beberapa manfaat menggunakan identitas terkelola:
- Anda tidak perlu mengelola informasi kredensial. Kredensial bahkan tidak dapat diakses oleh Anda.
- Anda dapat menggunakan identitas terkelola untuk mengautentikasi ke sumber daya apa pun yang mendukung autentikasi Microsoft Entra, termasuk aplikasi Anda sendiri.
- Identitas terkelola dapat digunakan tanpa biaya tambahan.
Tipe identitas terkelola
Ada dua jenis identitas terkelola:
Ditentukan oleh sistem. Beberapa sumber daya Azure, seperti komputer virtual memungkinkan Anda mengaktifkan identitas terkelola langsung pada sumber daya. Saat Anda mengaktifkan identitas terkelola yang ditetapkan sistem:
- Perwakilan layanan dengan tipe khusus dibuat di Microsoft Entra ID untuk identitas tersebut. Principal layanan terikat dengan siklus hidup dari sumber daya Azure tersebut. Saat sumber daya Azure dihapus, Azure secara otomatis menghapus service principal untuk Anda.
- Secara desain, hanya sumber daya Azure yang dapat menggunakan identitas ini untuk meminta token dari Microsoft Entra ID.
- Anda mengotorisasi identitas terkelola untuk memiliki akses ke satu atau beberapa layanan.
- Nama perwakilan layanan yang ditugaskan oleh sistem selalu sama dengan nama sumber daya Azure yang dibuat untuknya. Untuk slot penyebaran, nama identitas terkelola yang ditetapkan sistemnya adalah
<app-name>/slots/<slot-name>
.
Penetapan oleh pengguna. Anda juga dapat membuat identitas terkelola sebagai sumber daya Azure mandiri. Anda dapat membuat identitas terkelola yang ditetapkan pengguna dan menetapkannya ke satu atau beberapa Sumber Daya Azure. Saat Anda mengaktifkan identitas terkelola yang ditetapkan pengguna:
- Perwakilan layanan dengan tipe khusus dibuat di Microsoft Entra ID untuk identitas tersebut. Prinsipal layanan dikelola secara terpisah dari sumber daya yang menggunakannya.
- Identitas terkelola yang ditetapkan pengguna dapat digunakan oleh beberapa sumber daya.
- Anda mengotorisasi identitas terkelola untuk memiliki akses ke satu atau beberapa layanan.
Identitas terkelola yang ditetapkan pengguna, yang disediakan secara independen dari komputasi dan dapat ditetapkan ke beberapa sumber daya komputasi, adalah jenis identitas terkelola yang direkomendasikan untuk layanan Microsoft.
Sumber daya yang mendukung identitas terkelola yang ditetapkan oleh sistem memungkinkan Anda untuk:
- Mengaktifkan atau menonaktifkan identitas terkelola di tingkat sumber daya.
- Menggunakan kontrol akses berbasis peran (RBAC) untuk memberikan izin.
- Lihat operasi buat, baca, perbarui, dan hapus (CRUD) di log Aktivitas Azure.
- Lihat aktivitas masuk di log masuk Microsoft Entra ID.
Jika Anda memilih identitas terkelola yang ditetapkan pengguna sebagai gantinya:
- Anda dapat membuat, membaca, memperbarui, dan menghapus identitas.
- Anda dapat menggunakan penetapan peran RBAC untuk memberikan izin.
- Identitas terkelola yang ditetapkan pengguna dapat digunakan pada lebih dari satu sumber daya.
- Operasi CRUD tersedia untuk ditinjau dalam log Aktivitas Azure.
- Lihat aktivitas masuk di log masuk Microsoft Entra ID.
Operasi pada identitas terkelola dapat dilakukan menggunakan template Azure Resource Manager (ARM), portal Azure, Azure CLI, PowerShell, dan REST API.
Perbedaan antara identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna
Properti | Identitas terkelola yang ditetapkan oleh sistem | Identitas terkelola yang ditetapkan pengguna |
---|---|---|
Pembuatan | Dibuat sebagai bagian dari sumber daya Azure (misalnya, Azure Virtual Machines atau Azure App Service). | Dibuat sebagai sumber daya Azure yang berdiri sendiri. |
Siklus hidup | Memiliki siklus hidup yang sama dengan sumber daya Azure tempat identitas terkelola dibuat. Ketika sumber daya induk dihapus, identitas terkelola juga dihapus. |
Siklus hidup mandiri. Harus dihapus secara eksplisit. |
Berbagi antar sumber daya Azure | Tidak bisa dibagikan. Ini hanya dapat dikaitkan dengan satu sumber daya Azure. |
Dapat dibagikan. Identitas terkelola yang ditetapkan pengguna yang sama dapat dikaitkan dengan lebih dari satu sumber daya Azure. |
Kasus penggunaan umum | Beban kerja yang terkandung dalam satu sumber daya Azure. Beban kerja membutuhkan identitas independen. Misalnya, aplikasi yang berjalan pada satu mesin virtual. |
Beban kerja yang berjalan pada beberapa sumber daya dan dapat berbagi satu identitas. Tugas kerja yang memerlukan praautorisasi ke sumber daya yang aman, sebagai bagian dari alur penyediaan. Beban kerja di mana sumber daya sering didaur ulang, tetapi izin harus tetap konsisten. Misalnya, beban kerja yang mengharuskan beberapa komputer virtual mengakses sumber daya yang sama. |
Bagaimana cara menggunakan identitas terkelola untuk sumber daya Azure?
Anda dapat menggunakan identitas terkelola dengan mengikuti langkah-langkah di bawah ini:
- Buat identitas terkelola di Azure. Anda dapat memilih antara identitas terkelola yang ditetapkan sistem atau identitas terkelola yang ditetapkan pengguna.
- Saat menggunakan identitas terkelola yang ditetapkan pengguna, Anda menetapkan identitas terkelola ke Sumber Daya Azure "sumber", seperti Komputer Virtual, Azure Logic App, atau Azure Web App.
- Memberikan otorisasi identitas terkelola agar memiliki akses ke layanan "target".
- Gunakan identitas terkelola untuk mengakses sumber daya. Dalam langkah ini, Anda dapat menggunakan SDK Azure dengan pustaka Azure.Identity. Beberapa sumber daya "sumber" menawarkan konektor yang memahami cara menggunakan Identitas terkelola untuk koneksi. Dalam hal ini, Anda cukup menggunakan identitas sebagai fitur dari sumber daya "sumber" tersebut.
Layanan Azure mana yang mendukung fitur ini?
Identitas terkelola untuk sumber daya Azure dapat digunakan untuk mengautentikasi ke layanan yang mendukung autentikasi Microsoft Entra. Untuk daftar layanan Azure yang didukung, lihat layanan yang mendukung identitas terkelola untuk sumber daya Azure.
Bekerja dengan identitas terkelola
Identitas terkelola dapat digunakan secara langsung atau sebagai Kredensial Identitas Federasi untuk aplikasi ID Microsoft Entra.
Langkah-langkah yang terlibat dalam menggunakan identitas terkelola adalah sebagai berikut:
- Buat identitas terkelola di Azure. Anda dapat memilih antara identitas terkelola yang ditetapkan sistem atau identitas terkelola yang ditetapkan pengguna. Saat menggunakan identitas terkelola yang ditetapkan pengguna, Anda menetapkan identitas terkelola ke Sumber Daya Azure sumber, seperti Komputer Virtual, Azure Logic App, atau Azure Web App.
- Otorisasi identitas terkelola untuk memiliki akses ke layanan target.
- Gunakan identitas terkelola untuk mengakses sumber daya. Dalam langkah ini, Anda dapat menggunakan salah satu pustaka klien. Beberapa sumber daya sumber menawarkan konektor yang tahu cara menggunakan Identitas terkelola untuk koneksi. Dalam hal ini, Anda menggunakan identitas sebagai fitur sumber daya sumber tersebut.
Menggunakan identitas terkelola secara langsung
Kode layanan yang berjalan di sumber daya komputasi Azure Anda menggunakan Microsoft Authentication Library (MSAL) atau Azure.Identity SDK untuk mengambil token identitas terkelola dari ID Entra yang didukung oleh identitas terkelola. Akuisisi token ini tidak memerlukan rahasia apa pun dan secara otomatis diautentikasi berdasarkan lingkungan tempat kode berjalan. Selama identitas terkelola diotorisasi, kode layanan dapat mengakses dependensi hilir yang mendukung autentikasi ID Entra.
Misalnya, Anda dapat menggunakan Azure Virtual Machine (VM) sebagai Azure Compute. Anda kemudian dapat membuat identitas terkelola yang ditetapkan pengguna dan menetapkannya ke VM. Beban kerja yang berjalan di antarmuka VM berinteraksi dengan Azure.Identity (atau MSAL) dan SDK klien Azure Storage untuk mengakses akun penyimpanan. Identitas terkelola yang ditetapkan pengguna berwenang untuk mengakses akun penyimpanan.
Menggunakan identitas terkelola sebagai Federated Identity Credential (FIC) pada aplikasi ID Entra
Federasi Identitas Beban Kerja memungkinkan penggunaan identitas terkelola sebagai kredensial, sama seperti sertifikat atau kata sandi, pada Aplikasi ID Entra. Setiap kali aplikasi ID Entra diperlukan, ini adalah cara yang disarankan untuk bebas kredensial. Ada batas 20 FIC saat menggunakan identitas terkelola sebagai FIC pada Aplikasi ID Entra.
Beban kerja yang berfungsi sebagai aplikasi Entra ID dapat dihosting pada semua komputasi Azure yang memiliki identitas terkelola. Beban kerja menggunakan identitas terkelola untuk mengakses token yang kemudian ditukar dengan token Aplikasi Entra ID melalui federasi identitas beban kerja. Fitur ini juga disebut sebagai identitas terkelola sebagai FIC (Federated Identity Credentials). Untuk informasi selengkapnya, lihat mengonfigurasi aplikasi untuk mempercayai identitas terkelola.
Langkah berikutnya
- Pengenalan dan pedoman pengembang
- Menggunakan identitas terkelola yang ditetapkan sistem VM untuk mengakses Resource Manager
- Cara menggunakan identitas terkelola untuk App Service dan Azure Functions
- Cara menggunakan identitas terkelola dengan Azure Container Instances
- Mengimplementasikan Identitas terkelola untuk Sumber Daya Microsoft Azure
- Gunakan federasi identitas beban kerja untuk identitas yang dikelola untuk mengakses sumber daya yang dilindungi Microsoft Entra tanpa perlu mengelola rahasia