Mengonfigurasi App Service atau aplikasi Azure Functions Anda untuk menggunakan masuk Microsoft Entra

Pilih penyedia autentikasi lain untuk melompat ke dalamnya.

• Microsoft Entra ID
• Facebook
• Google
• Twitter
• Penyedia OpenID Connect
• Masuk dengan Apple (Pratinjau)

Artikel ini memperlihatkan kepada Anda cara mengonfigurasi autentikasi untuk Azure App Service atau Azure Functions sehingga aplikasi Anda memasukkan pengguna dengan platform identitas Microsoft (ID Microsoft Entra) sebagai penyedia autentikasi.

Fitur App Service Authentication dapat secara otomatis membuat pendaftaran aplikasi dengan platform identitas Microsoft. Anda juga dapat menggunakan pendaftaran yang Anda buat atau yang dibuat oleh admin direktori secara terpisah.

• Membuat pendaftaran aplikasi baru secara otomatis
• Menggunakan pendaftaran yang sudah ada yang dibuat secara terpisah

Catatan

Opsi untuk membuat pendaftaran baru secara otomatis tidak tersedia untuk cloud pemerintah atau saat menggunakan [ID Microsoft Entra untuk pelanggan (Pratinjau)]. Sebagai gantinya, tentukan pendaftaran secara terpisah.

Opsi 1: Membuat pendaftaran aplikasi baru secara otomatis

Gunakan opsi ini kecuali Anda perlu membuat pendaftaran aplikasi secara terpisah. Anda dapat menyesuaikan pendaftaran aplikasi di ID Microsoft Entra setelah dibuat.

1. Masuk ke portal Microsoft Azure dan navigasikan ke aplikasi Anda.

2. Pilih Autentikasi pada menu di sebelah kiri. Pilih Tambahkan penyedia identitas .

3. Pilih Microsoft di menu tarik-turun penyedia identitas. Opsi untuk membuat pendaftaran baru dipilih secara default. Anda dapat mengubah nama pendaftaran atau jenis akun yang didukung.

   Rahasia klien akan dibuat dan disimpan sebagai pengaturan aplikasi melekat slot yang bernama MICROSOFT_PROVIDER_AUTHENTICATION_SECRET. Anda dapat memperbarui pengaturan tersebut nanti untuk menggunakan referensi Key Vault jika Anda ingin mengelola rahasia di Azure Key Vault.

4. Jika ini adalah penyedia identitas pertama yang dikonfigurasi untuk aplikasi, Anda juga akan diminta dengan bagian pengaturan autentikasi App Service. Jika tidak, Anda boleh melanjutkan ke langkah berikutnya.

   Opsi ini menentukan bagaimana aplikasi Anda merespons permintaan yang tidak diautentikasi, dan pilihan default akan mengalihkan semua permintaan untuk masuk dengan penyedia baru ini. Anda dapat mengubah kustomisasi perilaku ini sekarang atau menyesuaikan pengaturan ini nanti dari layar Autentikasi dengan memilih Edit di samping Pengaturan autentikasi. Untuk mempelajari selengkapnya tentang opsi ini, lihat Alur autentikasi.

5. (Opsional) Pilih Berikutnya: Izin dan tambahkan izin Microsoft Graph apa pun yang diperlukan oleh aplikasi. Ini akan ditambahkan ke pendaftaran aplikasi, tetapi Anda juga dapat mengubahnya nanti.

6. Pilih Tambahkan.

Kini Anda siap menggunakan platform identitas Microsoft untuk autentikasi di aplikasi Anda. Penyedia akan dicantumkan pada layar Autentikasi. Dari sana, Anda dapat mengedit atau menghapus konfigurasi penyedia ini.

Untuk contoh mengonfigurasi masuk Microsoft Entra untuk aplikasi web yang mengakses Azure Storage dan Microsoft Graph, lihat tutorial ini.

Opsi 2: Gunakan pendaftaran yang sudah ada yang dibuat secara terpisah

Anda dapat mengonfigurasi autentikasi App Service untuk menggunakan pendaftaran aplikasi yang ada. Situasi berikut adalah kasus paling umum untuk menggunakan pendaftaran aplikasi yang ada:

• Akun Anda tidak memiliki izin untuk membuat pendaftaran aplikasi di penyewa Microsoft Entra Anda.
• Anda ingin menggunakan pendaftaran aplikasi dari penyewa Microsoft Entra yang berbeda dari yang ada di aplikasi Anda.
• Opsi untuk membuat pendaftaran baru tidak tersedia untuk cloud pemerintah.

Langkah 1: Membuat pendaftaran aplikasi di ID Microsoft Entra untuk aplikasi App Service Anda

Selama pembuatan pendaftaran aplikasi, kumpulkan informasi berikut yang akan Anda butuhkan nanti saat mengonfigurasi autentikasi di aplikasi App Service:

• ID klien
• ID Penyewa
• Rahasia klien (opsional, tetapi disarankan)
• URI ID Aplikasi

Instruksi untuk membuat pendaftaran aplikasi bergantung pada apakah Anda menggunakan penyewa tenaga kerja atau penyewa pelanggan. Gunakan tab di bawah ini untuk memilih serangkaian instruksi yang tepat untuk skenario Anda.

Untuk mendaftarkan aplikasi, lakukan langkah berikut:

1. Masuk ke portal Microsoft Azure, cari dan pilih App ServiceApp Service lalu pilih aplikasi Anda. Perhatikan URL aplikasi Anda. Anda akan menggunakannya untuk mengonfigurasi pendaftaran aplikasi Microsoft Entra Anda.

2. Navigasi ke penyewa Anda di portal:

   Penyewa tenaga kerja

   Dari menu portal, pilih ID Microsoft Entra. Jika penyewa yang Anda gunakan berbeda dari penyewa yang Anda gunakan untuk mengonfigurasi aplikasi App Service, Anda harus mengubah direktori terlebih dahulu.

   Penyewa pelanggan

   1. Jika Anda belum memiliki penyewa pelanggan, buat penyewa dengan mengikuti instruksi di Membuat penyewa identitas pelanggan dan manajemen akses (CIAM).

   2. Alihkan direktori Anda di portal Azure ke penyewa pelanggan.

      Tip

      Karena Anda bekerja dalam dua konteks penyewa (penyewa untuk langganan dan penyewa pelanggan), Anda mungkin ingin membuka portal Azure di dua tab terpisah dari browser web Anda. Masing-masing dapat masuk ke penyewa yang berbeda.

   3. Dari menu portal, pilih ID Microsoft Entra.

3. Pada layar "Gambaran Umum", catat ID Penyewa, serta domain Utama.

4. Dari navigasi kiri, pilih Pendaftaran aplikasi> Pendaftaran baru.

5. Di halaman Daftarkan aplikasi, masukkan Nama untuk pendaftaran aplikasi Anda.

6. Di Jenis akun yang didukung, pilih jenis akun yang dapat mengakses aplikasi ini.

7. Di bagian URI Pengalihan, pilih Web untuk platform dan ketik <app-url>/.auth/login/aad/callback. Contohnya,https://contoso.azurewebsites.net/.auth/login/aad/callback.

8. Pilih Daftarkan.

9. Setelah pendaftaran aplikasi dibuat, salin ID Aplikasi (klien) dan ID Direktori (penyewa) untuk nanti.

10. Dari navigasi kiri, pilih Autentikasi. Pada Pemberian implisit dan alur hibrida, aktifkan token ID untuk mengizinkan proses masuk pengguna OpenID Connect dari App Service. Pilih Simpan.

11. (Opsional) Dari navigasi kiri, pilih Branding & properties. Di URL halaman Beranda, masukkan URL aplikasi App Service Anda dan pilih Simpan.

12. Dari navigasi kiri, pilih Ekspos API>Tambahkan>Simpan. Nilai ini secara unik mengidentifikasi aplikasi ketika digunakan sebagai sumber daya, memungkinkan token yang memberikan akses untuk diminta. Ini digunakan sebagai awalan untuk cakupan yang Anda buat.

    Untuk aplikasi penyewa tunggal, Anda dapat menggunakan nilai default, yang berupa api://<application-client-id>. Anda juga dapat menentukan URI yang lebih mudah dibaca seperti https://contoso.com/api berdasarkan salah satu domain terverifikasi untuk penyewa Anda. Untuk aplikasi multi-penyewa, Anda harus menyediakan URI khusus. Untuk mempelajari selengkapnya tentang format yang diterima untuk URI ID Aplikasi, lihat referensi praktik terbaik pendaftaran aplikasi.

13. Pilih Tambahkan cakupan.

    1. Di Nama cakupan, masukkan user_impersonation.
    2. Di Siapa dapat menyetujui, pilih Admin dan pengguna jika Anda ingin mengizinkan pengguna menyetujui cakupan ini.
    3. Dalam kotak teks, masukkan deskripsi dan nama cakupan persetujuan yang Anda inginkan dilihat pengguna di halaman persetujuan. Misalnya, masukkan Akses <application-name>.
    4. Pilih Tambahkan cakupan.

14. (Opsional) Untuk membuat rahasia klien:

    1. Dari navigasi kiri, pilih Sertifikat & rahasia>Rahasia klien>Rahasia klien baru.
    2. Masukkan deskripsi serta kedaluwarsa dan pilih Tambahkan.
    3. Di bidang Nilai, salin nilai rahasia klien. Ini tidak akan ditampilkan lagi setelah Anda menavigasi menjauh dari halaman ini.

15. (Opsional) Untuk menambahkan beberapa URL Balasan, pilih Autentikasi.

16. Selesaikan menyiapkan pendaftaran aplikasi Anda:

    Penyewa tenaga kerja

    Tidak ada langkah lain yang diperlukan untuk penyewa tenaga kerja.

    Penyewa pelanggan

    1. Buat alur pengguna, yang menentukan pengalaman autentikasi yang dapat dibagikan di seluruh pendaftaran aplikasi di penyewa:

       1. Navigasi kembali ke penyewa dan pilih Identitas eksternal.
       2. (Opsional) Konfigurasikan idP di bawah Semua penyedia identitas. Lihat Metode autentikasi dan penyedia identitas untuk pelanggan untuk detail tentang opsi yang tersedia.
       3. Pilih Alur>pengguna Alur pengguna baru.
       4. Masukkan nama seperti "SignUpSignIn", lalu pilih penyedia identitas dan atribut pengguna yang ingin Anda gunakan dalam alur ini. Setelah selesai, pilih Buat.

       Langkah-langkah ini juga tercakup dalam Membuat alur pengguna pendaftaran dan masuk.

    2. Konfigurasikan pendaftaran aplikasi Anda agar berfungsi dengan alur pengguna:

       1. Pilih alur pengguna yang baru saja Anda buat.
       2. Pilih Aplikasi>Tambahkan aplikasi.
       3. Cari pendaftaran aplikasi yang Anda buat sebelumnya, pilih, lalu pilih Pilih.

       Langkah-langkah ini juga tercakup dalam Menambahkan aplikasi Anda ke alur pengguna.

    3. Alihkan direktori Anda kembali ke penyewa yang menyertakan langganan dan aplikasi App Service sehingga Anda dapat melakukan langkah-langkah berikutnya.

Langkah 2: Aktifkan ID Microsoft Entra di aplikasi App Service Anda

1. Masuk ke portal Microsoft Azure dan navigasikan ke aplikasi Anda.

2. Dari navigasi kiri, pilih Autentikasi>Tambahkan idP>Microsoft.

3. Pilih jenis Penyewa pendaftaran aplikasi yang Anda buat.

4. Konfigurasikan aplikasi untuk menggunakan pendaftaran yang Anda buat, menggunakan instruksi untuk jenis penyewa yang sesuai:

   Penyewa tenaga kerja

   Untuk Jenis pendaftaran aplikasi, pilih salah satu hal berikut:

   • Pilih pendaftaran aplikasi yang ada di direktori ini: Pilih pendaftaran aplikasi dari penyewa saat ini dan kumpulkan informasi aplikasi yang diperlukan secara otomatis. Sistem akan mencoba membuat rahasia klien baru terhadap pendaftaran aplikasi dan secara otomatis mengonfigurasi aplikasi Anda untuk menggunakannya. URL pengeluar sertifikat default diatur berdasarkan jenis akun yang didukung yang dikonfigurasi dalam pendaftaran aplikasi. Jika Anda ingin mengubah default ini, lihat tabel berikut.
   • Berikan detail pendaftaran aplikasi yang ada: Tentukan detail untuk pendaftaran aplikasi dari penyewa lain atau jika akun Anda tidak memiliki izin di penyewa saat ini untuk mengkueri pendaftaran. Untuk opsi ini, Anda harus mengisi nilai konfigurasi secara manual sesuai dengan tabel berikut.

   Titik akhir autentikasi untuk penyewa tenaga kerja harus menjadi nilai khusus untuk lingkungan cloud. Misalnya, penyewa tenaga kerja di Azure global akan menggunakan "https://login.microsoftonline.com" sebagai titik akhir autentikasinya. Catat nilai titik akhir autentikasi, karena diperlukan untuk membuat URL Penerbit yang tepat.

   Penyewa pelanggan

   Untuk penyewa pelanggan, Anda harus mengisi nilai konfigurasi secara manual sesuai dengan tabel berikut.

   Titik akhir autentikasi untuk penyewa pelanggan harus https://<tenant-subdomain>.ciamlogin.com, menggantikan< tenant-subdomain> dengan subdomain default untuk penyewa. Subdomain default adalah bagian dari domain utama untuk penyewa, yang seharusnya dari formulir <tenant-subdomain>.onmicrosoft.com dan diatur selama pembuatan penyewa. Misalnya, jika penyewa memiliki domain "contoso.onmicrosoft.com", subdomain penyewa adalah "contoso", dan titik akhir autentikasi adalah "https://contoso.ciamlogin.com". Catat nilai titik akhir autentikasi, karena diperlukan untuk membuat URL Penerbit yang tepat.

   Saat mengisi detail konfigurasi secara langsung, gunakan nilai yang Anda kumpulkan selama proses pembuatan pendaftaran aplikasi:

   Bidang	Deskripsi
   Aplikasi (ID klien)	Gunakan ID Aplikasi (klien) pendaftaran aplikasi.
   Rahasia Klien	Gunakan rahasia klien yang Anda buat di pendaftaran aplikasi. Dengan rahasia klien, aliran hibrid digunakan dan App Service akan menampilkan akses dan me-refresh token. Saat rahasia klien tidak diatur, alur implisit digunakan dan hanya token ID yang ditampilkan. Token ini dikirim oleh penyedia dan disimpan di penyimpanan token autentikasi App Service.
   URL Penerbit	Gunakan <authentication-endpoint>/<tenant-id>/v2.0, dan ganti <titik> akhir autentikasi dengan titik akhir autentikasi yang Anda tentukan di langkah sebelumnya untuk jenis penyewa dan lingkungan cloud Anda, juga mengganti< id> penyewa dengan ID Direktori (penyewa) tempat pendaftaran aplikasi dibuat. Untuk aplikasi yang menggunakan Microsoft Azure AD v1, hapus /v2.0 dari URL. Nilai ini digunakan untuk mengalihkan pengguna ke penyewa Microsoft Entra yang benar, serta untuk mengunduh metadata yang sesuai untuk menentukan kunci penandatanganan token dan nilai klaim penerbit token yang sesuai misalnya. Konfigurasi apa pun selain titik akhir khusus penyewa akan diperlakukan sebagai multi-penyewa. Dalam konfigurasi multi-penyewa, tidak ada validasi penerbit atau ID penyewa yang dilakukan oleh sistem, dan pemeriksaan ini harus sepenuhnya ditangani dalam logika otorisasi aplikasi Anda.
   Audiens Token yang Diizinkan	Bidang ini bersifat opsional. ID Aplikasi (klien) yang dikonfigurasi selalu secara implisit dianggap sebagai audiens yang diizinkan. Jika aplikasi Anda mewakili API yang akan dipanggil oleh klien lain, Anda juga harus menambahkan URI ID Aplikasi yang Anda konfigurasikan pada pendaftaran aplikasi. Ada batas total 500 karakter di seluruh daftar audiens yang diizinkan.

   Rahasia klien akan disimpan sebagai pengaturan aplikasi melekat slot yang bernama MICROSOFT_PROVIDER_AUTHENTICATION_SECRET. Anda dapat memperbarui pengaturan tersebut nanti untuk menggunakan referensi Key Vault jika Anda ingin mengelola rahasia di Azure Key Vault.

5. Jika ini adalah penyedia identitas pertama yang dikonfigurasi untuk aplikasi, Anda juga akan diminta dengan bagian pengaturan autentikasi App Service. Jika tidak, Anda boleh melanjutkan ke langkah berikutnya.

   Opsi ini menentukan bagaimana aplikasi Anda merespons permintaan yang tidak diautentikasi, dan pilihan default akan mengalihkan semua permintaan untuk masuk dengan penyedia baru ini. Anda dapat mengubah kustomisasi perilaku ini sekarang atau menyesuaikan pengaturan ini nanti dari layar Autentikasi dengan memilih Edit di samping Pengaturan autentikasi. Untuk mempelajari selengkapnya tentang opsi ini, lihat Alur autentikasi.

6. Pilih Tambahkan.

Kini Anda siap menggunakan platform identitas Microsoft untuk autentikasi di aplikasi Anda. Penyedia akan dicantumkan pada layar Autentikasi. Dari sana, Anda dapat mengedit atau menghapus konfigurasi penyedia ini.

Mengotorisasi permintaan

Secara default, Autentikasi App Service hanya menangani autentikasi, menentukan apakah penelepon adalah siapa yang mereka katakan. Otorisasi, menentukan apakah penelepon tersebut harus memiliki akses ke beberapa sumber daya, adalah langkah tambahan di luar autentikasi. Anda dapat mempelajari selengkapnya tentang konsep-konsep ini dari dasar-dasar otorisasi platform identitas Microsoft.

Aplikasi Anda dapat membuat keputusan otorisasi dalam kode. Autentikasi App Service memang menyediakan beberapa pemeriksaan bawaan, yang dapat membantu, tetapi mungkin tidak sendirian cukup untuk mencakup kebutuhan otorisasi aplikasi Anda.

Tip

Aplikasi multi-penyewa harus memvalidasi penerbit dan ID penyewa permintaan sebagai bagian dari proses ini untuk memastikan nilai diizinkan. Saat Autentikasi App Service dikonfigurasi untuk skenario multi-penyewa, itu tidak memvalidasi penyewa mana yang berasal dari permintaan. Aplikasi mungkin perlu dibatasi untuk penyewa tertentu, berdasarkan apakah organisasi telah mendaftar untuk layanan, misalnya. Lihat panduan multi-penyewa platform identitas Microsoft.

Melakukan validasi dari kode aplikasi

Saat melakukan pemeriksaan otorisasi di kode aplikasi, Anda dapat memanfaatkan informasi klaim yang tersedia untuk Autentikasi App Service. Header yang disuntikkan x-ms-client-principal berisi objek JSON yang dikodekan Base64 dengan klaim yang ditegaskan tentang pemanggil. Secara default, klaim ini melalui pemetaan klaim, sehingga nama klaim mungkin tidak selalu cocok dengan apa yang akan Anda lihat dalam token. Misalnya, klaim dipetakan tid ke http://schemas.microsoft.com/identity/claims/tenantid sebagai gantinya.

Anda juga dapat bekerja langsung dengan token akses yang mendasar dari header yang disuntikkan x-ms-token-aad-access-token .

Menggunakan kebijakan otorisasi bawaan

Pendaftaran aplikasi yang dibuat mengautentikasi permintaan masuk untuk penyewa Microsoft Entra Anda. Secara default, ini juga memungkinkan siapa pun dalam penyewa untuk mengakses aplikasi, yang baik-baik saja untuk banyak aplikasi. Namun, beberapa aplikasi perlu membatasi akses lebih lanjut dengan membuat keputusan otorisasi. Kode aplikasi Anda sering menjadi tempat terbaik untuk menangani logika otorisasi kustom. Namun, untuk skenario umum, platform identitas Microsoft menyediakan pemeriksaan bawaan yang dapat Anda gunakan untuk membatasi akses.

Bagian ini menunjukkan cara mengaktifkan pemeriksaan bawaan menggunakan API V2 autentikasi App Service. Saat ini, satu-satunya cara untuk mengonfigurasi pemeriksaan bawaan ini adalah melalui templat Azure Resource Manager atau REST API.

Dalam objek API, konfigurasi penyedia identitas Microsoft Entra memiliki validation bagian yang dapat menyertakan defaultAuthorizationPolicy objek seperti dalam struktur berikut:

{
    "validation": {
        "defaultAuthorizationPolicy": {
            "allowedApplications": [],
            "allowedPrincipals": {
                "identities": []
            }
        }
    }
}

Properti	Deskripsi
defaultAuthorizationPolicy	Pengelompokan persyaratan yang harus dipenuhi untuk mengakses aplikasi. Akses diberikan berdasarkan logis AND atas setiap properti yang dikonfigurasi. Ketika allowedApplications dan allowedPrincipals keduanya dikonfigurasi, permintaan masuk harus memenuhi kedua persyaratan agar dapat diterima.
allowedApplications	Daftar izin ID klien aplikasi string yang mewakili sumber daya klien yang memanggil ke dalam aplikasi. Ketika properti ini dikonfigurasi sebagai array nonempty, hanya token yang diperoleh oleh aplikasi yang ditentukan dalam daftar yang akan diterima. Kebijakan ini mengevaluasi appid atau azp klaim token masuk, yang harus menjadi token akses. Lihat referensi klaim platform identitas Microsoft.
allowedPrincipals	Pengelompokan pemeriksaan yang menentukan apakah perwakilan yang diwakili oleh permintaan masuk dapat mengakses aplikasi. Kepuasan allowedPrincipals didasarkan pada logis OR atas properti yang dikonfigurasi.
identities (di bawah allowedPrincipals)	Daftar izin ID objek string yang mewakili pengguna atau aplikasi yang memiliki akses. Ketika properti ini dikonfigurasi sebagai array yang tidak ada, allowedPrincipals persyaratan dapat dipenuhi jika pengguna atau aplikasi yang diwakili oleh permintaan ditentukan dalam daftar. Ada batas total 500 karakter di seluruh daftar identitas. Kebijakan ini mengevaluasi oid klaim token masuk. Lihat referensi klaim platform identitas Microsoft.

Selain itu, beberapa pemeriksaan dapat dikonfigurasi melalui pengaturan aplikasi, terlepas dari versi API yang digunakan. WEBSITE_AUTH_AAD_ALLOWED_TENANTS Pengaturan aplikasi dapat dikonfigurasi dengan daftar yang dipisahkan koma hingga 10 ID penyewa (misalnya, "559a2f9c-c6f2-4d31-b8d6-5ad1a13f8330,5693f64a-3ad5-4be7-b846-e9d1141bcebc") untuk mengharuskan token masuk berasal dari salah satu penyewa yang ditentukan, seperti yang ditentukan oleh tid klaim. WEBSITE_AUTH_AAD_REQUIRE_CLIENT_SERVICE_PRINCIPAL Pengaturan aplikasi dapat dikonfigurasi ke "true" atau "1" untuk mengharuskan token masuk menyertakan oid klaim. Pengaturan ini diabaikan dan diperlakukan sebagai benar jika allowedPrincipals.identities telah dikonfigurasi (karena oid klaim diperiksa terhadap daftar identitas yang disediakan ini).

Permintaan yang gagal pemeriksaan bawaan ini diberikan respons HTTP 403 Forbidden .

Mengonfigurasi aplikasi klien untuk mengakses App Service Anda

Di bagian sebelumnya, Anda mendaftarkan App Service atau Azure Function untuk mengautentikasi pengguna. Bagian ini menjelaskan cara mendaftarkan klien asli atau aplikasi daemon di ID Microsoft Entra sehingga mereka dapat meminta akses ke API yang diekspos oleh App Service Anda atas nama pengguna atau diri mereka sendiri, seperti dalam arsitektur N-tingkat. Menyelesaikan langkah di bagian ini tidak diperlukan jika Anda hanya ingin mengautentikasi pengguna.

Aplikasi klien asli

Anda dapat mendaftarkan klien asli untuk meminta akses API aplikasi App Service Anda atas nama pengguna yang login.

1. Dari menu portal, pilih ID Microsoft Entra.

2. Dari navigasi kiri, pilih Pendaftaran aplikasi> Pendaftaran baru.

3. Di halaman Daftarkan aplikasi, masukkan Nama untuk pendaftaran aplikasi Anda.

4. Di URI Pengalihan, pilih Klien publik (mobile & desktop) dan ketik URL-nya <app-url>/.auth/login/aad/callback. Contohnya,https://contoso.azurewebsites.net/.auth/login/aad/callback.

5. Pilih Daftarkan.

6. Setelah pendaftaran aplikasi dibuat, salin nilai ID Aplikasi (klien).

   Catatan

   Untuk aplikasi Microsoft Store, gunakan paket SID sebagai URI sebagai gantinya.

7. Dari navigasi kiri, pilih Izin>API Tambahkan izin>API Saya.

8. Pilih pendaftaran aplikasi yang Anda buat sebelumnya untuk aplikasi App Service Anda. Jika Anda tidak melihat pendaftaran aplikasi, pastikan Anda telah menambahkan cakupan user_impersonation di Membuat pendaftaran aplikasi di ID Microsoft Entra untuk aplikasi App Service Anda.

9. Di bawah Izin yang didelegasikan, pilih user_impersonation, lalu pilih Tambahkan izin.

Kini Anda telah mengonfigurasi aplikasi klien asli yang dapat meminta akses aplikasi Layanan Aplikasi atas nama pengguna.

Aplikasi klien Daemon (panggilan layanan ke layanan)

Dalam arsitektur N-tingkat, aplikasi klien Anda dapat memperoleh token untuk memanggil App Service atau aplikasi Fungsi atas nama aplikasi klien itu sendiri (bukan atas nama pengguna). Skenario ini berguna untuk aplikasi daemon non-interaktif yang melakukan tugas tanpa pengguna yang masuk. Ini menggunakan pemberian informasi masuk klien OAuth 2.0 standar.

1. Dari menu portal, pilih ID Microsoft Entra.
2. Dari navigasi kiri, pilih Pendaftaran aplikasi> Pendaftaran baru.
3. Di halaman Daftarkan aplikasi, masukkan Nama untuk pendaftaran aplikasi Anda.
4. Untuk aplikasi daemon, Anda tidak memerlukan URI Pengalihan sehingga Anda dapat menyimpannya tetap kosong.
5. Pilih Daftarkan.
6. Setelah pendaftaran aplikasi dibuat, salin nilai ID Aplikasi (klien).
7. Dari navigasi kiri, pilih Sertifikat & rahasia>Rahasia klien>Rahasia klien baru.
8. Masukkan deskripsi serta kedaluwarsa dan pilih Tambahkan.
9. Di bidang Nilai, salin nilai rahasia klien. Ini tidak akan ditampilkan lagi setelah Anda menavigasi menjauh dari halaman ini.

Anda sekarang dapat meminta token akses menggunakan ID klien dan rahasia klien dengan mengatur parameter resource ke URI ID Aplikasi pada aplikasi target. Token akses yang dihasilkan kemudian dapat disajikan ke aplikasi target menggunakan header Otorisasi OAuth 2.0 standar, dan autentikasi App Service akan memvalidasi dan menggunakan token seperti biasa untuk sekarang menunjukkan bahwa pemanggil (aplikasi dalam hal ini, bukan pengguna) diautentikasi.

Saat ini, ini memungkinkan aplikasi klien apa pun di penyewa Microsoft Entra Anda untuk meminta token akses dan mengautentikasi ke aplikasi target. Jika Anda juga ingin menerapkan otorisasi untuk hanya mengizinkan aplikasi klien tertentu, Anda harus melakukan beberapa konfigurasi tambahan.

1. Tentukan Peran Aplikasi dalam manifes pendaftaran aplikasi yang mewakili aplikasi App Service atau Function yang ingin Anda lindungi.
2. Pada pendaftaran aplikasi yang mewakili klien yang perlu diotorisasi, pilih izin API>Tambahkan izin>API Saya.
3. Pilih pendaftaran aplikasi yang Anda buat sebelumnya. Jika Anda tidak melihat pendaftaran aplikasi, pastikan Anda telah menambahkan Peran Aplikasi.
4. Di bawah Izin aplikasi, pilih Peran Aplikasi yang Anda buat sebelumnya, lalu pilih Tambahkan izin.
5. Pastikan untuk pilih Beri persetujuan admin untuk memberi otorisasi aplikasi klien untuk meminta izin.
6. Mirip dengan skenario sebelumnya (sebelum peran ditambahkan), Anda sekarang dapat meminta token akses untuk target yang sama resource, dan token akses akan mencakup klaim roles yang berisi Peran Aplikasi yang diizinkan untuk aplikasi klien.
7. Dalam kode aplikasi App Service atau Function target, Anda sekarang dapat memvalidasi bahwa peran yang diharapkan ada dalam token (ini tidak dilakukan oleh autentikasi App Service). Untuk informasi selengkapnya, lihat Mengakses klaim pengguna.

Kini Anda telah mengonfigurasi aplikasi klien daemon yang dapat mengakses aplikasi App Service menggunakan identitasnya sendiri.

Praktik terbaik

Terlepas dari konfigurasi yang Anda gunakan untuk menyiapkan autentikasi, praktik terbaik berikut akan membuat penyewa dan aplikasi Anda lebih aman:

• Konfigurasikan setiap aplikasi App Service dengan pendaftaran aplikasinya sendiri di ID Microsoft Entra.
• Berikan setiap aplikasi App Service izin dan persetujuannya sendiri.
• Hindari berbagi izin antar lingkungan dengan menggunakan pendaftaran aplikasi terpisah untuk slot penyebaran terpisah. Saat Anda menguji kode baru, praktik ini dapat membantu mencegah masalah memengaruhi aplikasi produksi.

Bermigrasi ke Microsoft Graph

Beberapa aplikasi lama mungkin juga telah disiapkan dengan dependensi pada Azure AD Graph yang tidak digunakan lagi, yang dijadwalkan untuk penghentian penuh. Misalnya, kode aplikasi Anda mungkin telah memanggil Azure AD Graph untuk memeriksa keanggotaan grup sebagai bagian dari filter otorisasi di alur middleware. Aplikasi harus berpindah ke Microsoft Graph dengan mengikuti panduan yang disediakan oleh ID Microsoft Entra sebagai bagian dari proses penghentian Azure AD Graph. Dalam mengikuti instruksi tersebut, Anda mungkin perlu membuat beberapa perubahan pada konfigurasi autentikasi App Service Anda. Setelah menambahkan izin Microsoft Graph ke pendaftaran aplikasi, Anda dapat:

1. Perbarui URL Penerbit untuk menyertakan akhiran "/v2.0" jika belum.

2. Hapus permintaan untuk izin Azure AD Graph dari konfigurasi masuk Anda. Properti yang akan diubah bergantung pada versi API manajemen mana yang Anda gunakan:

   • Jika Anda menggunakan API V1 (/authsettings), ini akan berada dalam additionalLoginParams array.
   • Jika Anda menggunakan API V2 (/authsettingsV2), ini akan berada dalam loginParameters array.

   Anda perlu menghapus referensi apa pun ke "https://graph.windows.net", misalnya. Ini termasuk resource parameter (yang tidak didukung oleh titik akhir "/v2.0"), atau cakupan apa pun yang Anda minta secara khusus yang berasal dari Azure AD Graph.

   Anda juga perlu memperbarui konfigurasi untuk meminta izin Microsoft Graph baru yang Anda siapkan untuk pendaftaran aplikasi. Anda dapat menggunakan cakupan .default untuk menyederhanakan penyiapan ini dalam banyak kasus. Untuk melakukannya, tambahkan parameter scope=openid profile email https://graph.microsoft.com/.defaultmasuk baru .

Dengan perubahan ini, ketika Autentikasi App Service mencoba masuk, itu tidak akan lagi meminta izin ke Azure AD Graph, dan sebaliknya akan mendapatkan token untuk Microsoft Graph. Setiap penggunaan token tersebut dari kode aplikasi Anda juga perlu diperbarui, sesuai panduan yang disediakan oleh ID Microsoft Entra.

Langkah berikutnya

• Ringkasan App Service Authentication/Authorization.
• Tutorial: Mengautentikasi dan memberi otorisasi pengguna secara end-to-end di Azure App Service

• Tutorial: Mengautentikasi dan memberi otorisasi pengguna dalam aplikasi web yang mengakses Azure Storage dan Microsoft Graph
• Tutorial: Mengautentikasi dan memberi otorisasi pengguna secara end-to-end di Azure App Service