Edit

Konfigurasi dan keamanan aplikasi terpusat

Microsoft Entra ID
Azure App Configuration
Azure Key Vault

Ide solusi

Artikel ini adalah ide solusi. Jika Anda ingin kami memperluas konten dengan informasi lebih lanjut, seperti potensi kasus penggunaan, layanan alternatif, pertimbangan implementasi, atau panduan harga, beri tahu kami dengan memberikan umpan balik GitHub.

Artikel ini menguraikan solusi untuk membuat aplikasi yang kuat dan dapat diskalakan di lingkungan terdistribusi. Solusi ini menggunakan Azure App Configuration dan Azure Key Vault untuk mengelola dan menyimpan pengaturan konfigurasi aplikasi, bendera fitur, dan pengaturan akses aman di satu tempat.

Sistem

Diagram berikut menunjukkan bagaimana App Configuration dan Key Vault dapat bekerja sama untuk mengelola dan mengamankan aplikasi dalam lingkungan pengembangan dan Azure .

Lingkungan pengembangan

Di lingkungan pengembangan, aplikasi menggunakan identitas melalui Visual Studio atau CLI Azure versi 2.0 untuk masuk dan mengirim permintaan autentikasi ke ID Microsoft Entra.

Diagram arsitektur yang menunjukkan cara aplikasi masuk dan mengautentikasi di lingkungan pengembangan.

Unduh file Visio arsitektur ini.

Lingkungan produksi atau pentahapan Azure

Lingkungan penahapan dan produksi Azure menggunakan identitas terkelola untuk masuk dan autentikasi.

Diagram arsitektur yang menunjukkan cara aplikasi masuk dan mengautentikasi di lingkungan penahapan atau produksi.

Unduh file Visio arsitektur ini.

Aliran data

  1. Aplikasi mengirimkan permintaan autentikasi selama penelusuran kesalahan di Visual Studio, atau mengautentikasi melalui MSI di Azure.
  2. Setelah autentikasi berhasil, MICROSOFT Entra ID mengembalikan token akses.
  3. App Configuration SDK mengirimkan permintaan dengan token akses untuk membaca nilai rahasiaURI Key Vault App Configuration aplikasi untuk brankas kunci aplikasi.
  4. Setelah otorisasi berhasil, App Configuration mengirimkan nilai konfigurasi.
  5. Menggunakan identitas masuk, aplikasi mengirimkan permintaan ke Key Vault untuk mengambil rahasia aplikasi untuk secretURI yang dikirim App Configuration.
  6. Setelah otorisasi berhasil, Key Vault mengembalikan nilai rahasia.

Komponen

  • MICROSOFT Entra ID adalah platform universal untuk mengelola dan mengamankan identitas.
  • App Configuration menyediakan cara untuk menyimpan konfigurasi untuk semua aplikasi Azure Anda di lokasi universal yang dihosting.
  • Identitas terkelola menyediakan identitas untuk digunakan aplikasi saat menyambungkan ke sumber daya yang mendukung autentikasi Microsoft Entra.
  • Key Vault melindungi kunci kriptografi dan rahasia lain yang digunakan oleh aplikasi dan layanan cloud.

Detail skenario

Aplikasi berbasis cloud sering berjalan di beberapa mesin virtual atau kontainer di beberapa wilayah, dan menggunakan beberapa layanan eksternal. Menciptakan aplikasi yang kuat dan terukur dalam lingkungan terdistribusi memberikan tantangan yang besar.

Dengan menggunakan App Configuration, Anda dapat mengelola dan menyimpan semua pengaturan konfigurasi aplikasi, bendera fitur, dan pengaturan akses aman di satu tempat. App Configuration berfungsi dengan mulus dengan Key Vault, yang menyimpan kata sandi, kunci, dan rahasia untuk akses aman.

Kemungkinan kasus penggunaan

Aplikasi apa pun dapat menggunakan App Configuration, tetapi jenis aplikasi berikut mendapat manfaat paling besar darinya:

  • Layanan mikro yang berjalan di Azure Kubernetes Service (AKS) atau aplikasi kontainer lainnya yang disebarkan di satu wilayah atau lebih.
  • Aplikasi tanpa server, yang mencakup Azure Functions atau aplikasi komputasi stateless berbasis peristiwa lainnya.
  • Aplikasi yang menggunakan alur penyebaran berkelanjutan (CD).

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

  • Sebaiknya gunakan brankas kunci yang berbeda untuk setiap aplikasi di setiap lingkungan: pengembangan, pra-produksi Azure, dan produksi Azure. Menggunakan vault yang berbeda membantu mencegah berbagi rahasia di seluruh lingkungan, dan mengurangi ancaman jika terjadi pelanggaran.

  • Untuk menggunakan skenario ini, identitas masuk harus memiliki peran Pembaca Data App Configuration di sumber daya App Configuration, dan memiliki kebijakan akses eksplisit untuk mengambil rahasia di Key Vault.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Langkah berikutnya

Pelajari selengkapnya tentang teknologi komponen: