Mengautentikasi brankas dengan identitas terkelola untuk sumber daya Azure
Azure Key Vault menggunakan ID Microsoft Entra untuk mengautentikasi pengguna dan aplikasi yang mencoba mengakses vault. Untuk memberikan akses aplikasi web kami ke vault, Anda harus terlebih dahulu mendaftarkan aplikasi Anda dengan ID Microsoft Entra. Dengan mendaftarkan, identitas untuk aplikasi akan dibuat. Setelah aplikasi memiliki identitas, Anda dapat menetapkan izin brankas untuk aplikasi tersebut.
Aplikasi dan pengguna mengautentikasi ke Key Vault menggunakan token autentikasi Microsoft Entra. Mendapatkan token dari ID Microsoft Entra memerlukan rahasia atau sertifikat. Siapa pun dengan token dapat menggunakan identitas aplikasi untuk mengakses semua rahasia di brankas.
Rahasia aplikasi Anda aman di vault, tetapi Anda masih perlu menyimpan rahasia atau sertifikat di luar vault untuk mengaksesnya! Masalah ini disebut masalah bootstrapping, dan Azure memiliki solusi untuk itu.
Identitas terkelola untuk sumber daya Azure
Identitas terkelola untuk sumber daya Azure adalah fitur Azure yang dapat digunakan aplikasi Anda untuk mengakses Key Vault dan layanan Azure lainnya tanpa harus mengelola satu rahasia pun di luar vault. Menggunakan identitas terkelola adalah cara sederhana dan aman untuk memanfaatkan Key Vault dari aplikasi web Anda.
Saat Anda mengaktifkan identitas terkelola di aplikasi web Anda, Azure mengaktifkan layanan REST pemberian token terpisah khusus untuk digunakan aplikasi Anda. Aplikasi Anda meminta token dari layanan ini alih-alih langsung dari ID Microsoft Entra. Aplikasi Anda perlu menggunakan rahasia untuk mengakses layanan ini, tetapi rahasia itu dimasukkan ke variabel lingkungan aplikasi Anda oleh App Service saat memulai. Anda tidak perlu mengelola atau menyimpan nilai rahasia ini di mana pun, dan tidak ada siapa pun di luar aplikasi yang dapat mengakses rahasia ini atau titik akhir layanan token identitas terkelola.
Identitas terkelola untuk sumber daya Azure juga mendaftarkan aplikasi Anda di ID Microsoft Entra untuk Anda. ID Microsoft Entra menghapus pendaftaran jika Anda menghapus aplikasi web atau menonaktifkan identitas terkelolanya.
Identitas terkelola tersedia di semua edisi ID Microsoft Entra, termasuk edisi Gratis yang disertakan dengan langganan Azure. Menggunakannya di App Service tidak memiliki biaya tambahan dan tidak memerlukan konfigurasi, dan Anda dapat mengaktifkan atau menonaktifkannya di aplikasi kapan saja.
Mengaktifkan identitas terkelola untuk aplikasi web hanya memerlukan satu perintah Azure CLI tanpa konfigurasi. Anda melakukannya nanti saat menyiapkan aplikasi App Service dan menyebarkannya ke Azure. Namun, sebelum itu, terapkan pengetahuan Anda tentang identitas terkelola untuk menulis kode untuk aplikasi kami.