Tetapkan akses identitas terkelola ke peran aplikasi menggunakan Azure CLI
Identitas terkelola untuk sumber daya Azure menyediakan layanan Azure dengan identitas di ID Microsoft Entra. Identitas terkelola bekerja tanpa membutuhkan info masuk dalam kode Anda. Layanan Azure menggunakan identitas ini untuk mengautentikasi ke layanan yang mendukung autentikasi Microsoft Entra. Peran aplikasi menyediakan bentuk kontrol akses berbasis peran dan memungkinkan layanan untuk mengimplementasikan aturan otorisasi.
Catatan
Token yang diterima aplikasi Anda di-cache oleh infrastruktur yang mendasarinya, yang berarti bahwa setiap perubahan pada peran identitas terkelola mungkin membutuhkan waktu yang signifikan agar berlaku. Untuk informasi selengkapnya, lihat Batasan penggunaan identitas terkelola untuk otorisasi.
Dalam artikel ini, Anda mempelajari cara menetapkan identitas terkelola ke peran aplikasi yang diekspos oleh aplikasi lain menggunakan Azure CLI.
Prasyarat
- Jika Anda tidak terbiasa dengan identitas terkelola untuk sumber daya Azure, lihat bagian ringkasan. Pastikan untuk meninjau perbedaan antara identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna.
Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.
Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.
Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.
Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.
Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.
Menetapkan akses identitas terkelola ke peran aplikasi pada aplikasi lain
Aktifkan identitas terkelola pada sumber daya Azure, seperti komputer virtual Azure.
Temukan ID objek dari perwakilan layanan identitas terkelola.
Untuk identitas terkelola yang ditetapkan sistem, Anda dapat menemukan ID objek di portal Microsoft Azure di halaman Identitas sumber daya. Anda juga dapat menggunakan skrip berikut untuk menemukan ID objek. Anda memerlukan ID sumber daya yang Anda buat di langkah 1, yang tersedia di portal Microsoft Azure di halaman Properti sumber daya.
resourceIdWithManagedIdentity="/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.Compute/virtualMachines/{my virtual machine name}" oidForMI=$(az resource show --ids $resourceIdWithManagedIdentity --query "identity.principalId" -o tsv | tr -d '[:space:]') echo "object id for managed identity is: $oidForMI"
Untuk identitas terkelola yang ditetapkan pengguna, Anda dapat menemukan ID objek identitas terkelola di portal Microsoft Azure di halaman Gambaran Umum sumber daya. Anda juga dapat menggunakan skrip berikut untuk menemukan ID objek. Anda memerlukan ID sumber daya identitas terkelola yang ditetapkan pengguna.
userManagedIdentityResourceId="/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{my managed identity name}" oidForMI=$(az resource show --id $userManagedIdentityResourceId --query "properties.principalId" -o tsv | tr -d '[:space:]') echo "object id for managed identity is: $oidForMI"
Buat pendaftaran aplikasi baru untuk mewakili layanan yang akan diminta oleh identitas terkelola Anda. Jika API atau layanan yang mengekspos pemberian peran aplikasi ke identitas terkelola sudah memiliki perwakilan layanan di penyewa Microsoft Entra Anda, lewati langkah ini.
Temukan ID objek dari perwakilan layanan aplikasi layanan. Anda dapat menemukan ini menggunakan portal Microsoft Azure. Buka ID Microsoft Entra dan buka halaman Aplikasi perusahaan, lalu temukan aplikasi dan cari ID Objek. Anda juga dapat menemukan ID objek perwakilan layanan dengan nama tampilannya menggunakan skrip berikut:
appName="{name for your application}" serverSPOID=$(az ad sp list --filter "displayName eq '$appName'" --query '[0].id' -o tsv | tr -d '[:space:]') echo "object id for server service principal is: $serverSPOID"
Catatan
Nama tampilan untuk aplikasi tidak unik, jadi Anda harus memverifikasi bahwa Anda mendapatkan perwakilan layanan aplikasi yang benar.
Atau Anda dapat menemukan ID Objek dengan ID Aplikasi unik untuk pendaftaran aplikasi Anda:
appID="{application id for your application}" serverSPOID=$(az ad sp list --filter "appId eq '$appID'" --query '[0].id' -o tsv | tr -d '[:space:]') echo "object id for server service principal is: $serverSPOID"
Tambahkan peran aplikasi ke aplikasi yang Anda buat di langkah 3. Anda dapat membuat peran menggunakan portal Microsoft Azure atau menggunakan Microsoft Graph. Misalnya, Anda dapat menambahkan peran aplikasi seperti ini:
{ "allowedMemberTypes": [ "Application" ], "displayName": "Read data from MyApi", "id": "0566419e-bb95-4d9d-a4f8-ed9a0f147fa6", "isEnabled": true, "description": "Allow the application to read data as itself.", "value": "MyApi.Read.All" }
Tetapkan peran aplikasi ke identitas terkelola. Anda memerlukan informasi berikut untuk menetapkan peran aplikasi:
managedIdentityObjectId
: ID objek dari perwakilan layanan identitas terkelola, yang Anda temukan di langkah 2.serverServicePrincipalObjectId
: ID objek dari perwakilan layanan aplikasi server, yang Anda temukan di langkah 4.appRoleId
: ID dari peran aplikasi yang diekspos oleh aplikasi server, yang Anda buat di langkah 5 - dalam contoh, ID peran aplikasinya adalah0566419e-bb95-4d9d-a4f8-ed9a0f147fa6
.
Jalankan skrip berikut untuk menambahkan penetapan peran. Perhatikan bahwa fungsi ini tidak langsung diekspos pada Azure CLI dan bahwa perintah REST digunakan di sini sebagai gantinya:
roleguid="0566419e-bb95-4d9d-a4f8-ed9a0f147fa6" az rest -m POST -u https://graph.microsoft.com/v1.0/servicePrincipals/$oidForMI/appRoleAssignments -b "{\"principalId\": \"$oidForMI\", \"resourceId\": \"$serverSPOID\",\"appRoleId\": \"$roleguid\"}"
Langkah berikutnya
- Identitas terkelola untuk ringkasan sumber daya Azure
- Untuk mengaktifkan identitas terkelola di komputer virtual Azure, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure di komputer virtual Azure menggunakan PowerShell.