Mengotorisasi akses ke Azure App Configuration menggunakan ID Microsoft Entra

  • Artikel

Selain menggunakan Kode Autentikasi Pesan berbasis Hash (HMAC), Azure App Configuration mendukung penggunaan ID Microsoft Entra untuk mengotorisasi permintaan ke instans App Configuration. MICROSOFT Entra ID memungkinkan Anda menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada prinsip keamanan. Perwakilan keamanan mungkin pengguna, identitas terkelola, atau perwakilan layanan aplikasi. Untuk mempelajari selengkapnya tentang peran dan penetapan peran, lihat Memahami peran lainnya.

Gambaran Umum

Permintaan yang dibuat oleh perwakilan keamanan untuk mengakses sumber daya App Configuration harus diotorisasi. Dengan ID Microsoft Entra, akses ke sumber daya adalah proses dua langkah:

  1. Identitas perwakilan keamanan diautentikasi dan token OAuth 2.0 dikembalikan. Nama sumber daya untuk meminta token adalah https://login.microsoftonline.com/{tenantID} tempat {tenantID} yang cocok dengan ID penyewa Microsoft Entra tempat perwakilan layanan berada.
  2. Token diteruskan sebagai bagian dari permintaan ke layanan App Configuration untuk mengotorisasi akses ke sumber daya yang ditentukan.

Langkah otentikasi mengharuskan permintaan aplikasi berisi token akses OAuth 2.0 pada saat runtime. Jika aplikasi berjalan dalam entitas Azure, seperti aplikasi Azure Functions, Azure Web App, atau Azure VM, aplikasi dapat menggunakan identitas terkelola untuk mengakses sumber daya. Untuk mempelajari cara mengautentikasi permintaan yang dibuat oleh identitas terkelola ke Azure App Configuration, lihat Mengautentikasi akses ke sumber daya Azure App Configuration dengan ID Microsoft Entra dan identitas terkelola untuk Sumber Daya Azure.

Langkah otorisasi mengharuskan satu atau beberapa peran Azure ditetapkan ke perwakilan keamanan. Azure App Configuration menyediakan peran Azure yang mencakup sekumpulan izin untuk sumber daya App Configuration. Peran yang ditugaskan kepada perwakilan keamanan menentukan izin yang diberikan kepada perwakilan tersebut. Untuk informasi selengkapnya tentang peran Azure, lihat Peran bawaan Azure untuk Azure App Configuration.

Menetapkan peran Azure untuk hak akses

Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC).

Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsip keamanan tersebut. Akses tercakup ke sumber daya App Configuration. Perwakilan keamanan Microsoft Entra mungkin pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Peran bawaan Azure untuk Azure App Configuration

Azure menyediakan peran bawaan Azure berikut untuk mengotorisasi akses ke data App Configuration menggunakan ID Microsoft Entra:

  • Pemilik Data App Configuration: Gunakan peran ini untuk memberikan akses baca/tulis/hapus ke data App Configuration. Peran ini tidak memberikan akses ke sumber daya App Configuration.
  • Pembaca Data Konfigurasi Aplikasi: Gunakan peran ini untuk memberikan akses baca ke data App Configuration. Peran ini tidak memberikan akses ke sumber daya App Configuration.
  • Kontributor atau Pemilik: Gunakan peran ini untuk mengelola sumber daya App Configuration. Ini memberikan akses ke kunci akses sumber daya. Meskipun data App Configuration dapat diakses menggunakan kunci akses, peran ini tidak memberikan akses langsung ke data menggunakan ID Microsoft Entra. Peran ini diperlukan jika Anda mengakses data App Configuration melalui templat ARM, Bicep, atau Terraform selama penyebaran. Untuk informasi selengkapnya, lihat penyebaran.
  • Pembaca: Gunakan peran ini untuk memberikan akses baca ke sumber daya App Configuration. Peran ini tidak memberikan akses ke kunci akses sumber daya, atau ke data yang disimpan dalam App Configuration.

Catatan

Setelah penetapan peran dibuat untuk identitas, beri waktu hingga 15 menit agar izin disebarluaskan sebelum mengakses data yang disimpan di App Configuration menggunakan identitas ini.

Langkah berikutnya

Pelajari selengkapnya tentang menggunakan identitas terkelola untuk mengelola layanan App Configuration Anda.