Gunakan portal untuk membuat aplikasi Microsoft Azure Active Directory dan prinsipal layanan yang dapat mengakses sumber daya

Artikel ini memperlihatkan cara membuat aplikasi Microsoft Azure Active Directory (Azure AD) baru dan perwakilan layanan yang dapat digunakan dengan kontrol akses berbasis peran. Saat memiliki aplikasi, layanan yang dihosting, atau alat otomatis yang perlu mengakses atau memodifikasi sumber daya, Anda dapat membuat identitas untuk aplikasi tersebut. Identitas ini dikenal sebagai perwakilan layanan. Akses ke sumber daya dibatasi oleh peran yang ditetapkan untuk perwakilan layanan, yang memberi Anda kontrol atas sumber daya mana yang dapat diakses dan pada tingkat mana. Untuk alasan keamanan, selalu disarankan untuk menggunakan perwakilan layanan dengan alat otomatis dibanding mengizinkan mereka masuk dengan identitas pengguna.

Artikel ini memperlihatkan cara menggunakan portal untuk membuat perwakilan layanan di portal Microsoft Azure. Ini berfokus pada aplikasi penyewa tunggal yang aplikasinya dimaksudkan untuk berjalan hanya dalam satu organisasi. Anda biasanya menggunakan aplikasi penyewa tunggal untuk aplikasi lini bisnis yang berjalan dalam organisasi Anda. Anda juga dapat menggunakan Microsoft Azure PowerShell untuk membuat perwakilan layanan.

Penting

Alih-alih membuat perwakilan layanan, pertimbangkan untuk menggunakan identitas terkelola untuk sumber daya Azure untuk identitas aplikasi Anda. Jika kode Anda berjalan pada layanan yang mendukung identitas terkelola dan mengakses sumber daya yang mendukung autentikasi Microsoft Azure Active Directory, identitas terkelola adalah opsi yang lebih baik untuk Anda. Untuk mempelajari selengkapnya tentang identitas terkelola untuk sumber daya Azure, termasuk layanan mana yang saat ini mendukungnya, lihat Apa itu identitas terkelola untuk sumber daya Azure?.

Pendaftaran aplikasi, objek aplikasi, dan perwakilan layanan

Tidak ada cara untuk langsung membuat perwakilan layanan menggunakan portal Microsoft Azure. Saat Anda mendaftarkan aplikasi melalui portal Microsoft Azure, objek aplikasi dan perwakilan layanan secara otomatis dibuat di direktori atau penyewa beranda Anda. Untuk informasi selengkapnya tentang hubungan antara pendaftaran aplikasi, objek aplikasi, dan perwakilan layanan, baca Aplikasi dan objek perwakilan layanan di Microsoft Azure Active Directory.

Izin yang diperlukan untuk mendaftarkan aplikasi

Anda harus memiliki izin yang memadai untuk mendaftarkan aplikasi dengan penyewa Microsoft Azure Active Directory Anda, dan memberi aplikasi peran dalam langganan Azure Anda.

Memeriksa izin Microsoft Azure Active Directory

  1. Pilih Azure Active Directory.

  2. Temukan peran Anda di Gambaran UmumUmpan saya. Jika Anda memiliki peran Pengguna, Anda harus memastikan non-administrator dapat mendaftarkan aplikasi.

    Screenshot showing how to find your role.

  3. Di panel kiri, pilih Pengguna dan kemudian Pengaturan pengguna.

  4. Periksa pengaturan Pendaftaran aplikasi. Nilai ini hanya bisa ditetapkan oleh administrator. Jika diatur ke Ya, tiap pengguna di penyewa Microsoft Azure Active Directory dapat mendaftarkan aplikasi.

Jika pengaturan pendaftaran aplikasi diatur ke Tidak, hanya pengguna dengan peran administrator yang dapat mendaftarkan jenis aplikasi ini. Lihat Peran bawaan Microsoft Azure Active Directory untuk mempelajari tentang peran administrator yang tersedia dan izin khusus di Microsoft Azure Active Directory yang diberikan untuk tiap peran. Jika akun Anda diberi peran Pengguna, tetapi pengaturan pendaftaran aplikasi dibatasi untuk pengguna admin, minta administrator untuk menetapkan salah satu peran administrator yang dapat membuat dan mengelola semua aspek pendaftaran aplikasi, atau untuk memungkinkan pengguna mendaftarkan aplikasi.

Memeriksa izin langganan Azure

Di langganan Azure, akun Anda harus memiliki akses Microsoft.Authorization/*/Write untuk menetapkan peran ke aplikasi AD. Tindakan ini diberikan melalui peran Pemilik atau peran Administrator Akses Pengguna. Jika akun Anda diberi peran Kontributor, Anda tidak memiliki izin yang memadai. Anda akan menerima kesalahan saat mencoba menetapkan peran ke perwakilan layanan.

Untuk memeriksa izin langganan Anda:

  1. Cari dan pilih Langganan, atau pilih Langganan di halaman Beranda.

    Search

  2. Pilih langganan tempat Anda ingin membuat perwakilan layanan.

    Select subscription for assignment

    Jika Anda tidak melihat langganan yang Anda cari, pilih filter langganan global. Pastikan langganan yang Anda inginkan dipilih untuk portal.

  3. Pilih Izin saya. Selanjutnya, pilih Klik di sini untuk melihat detail akses lengkap untuk langganan ini.

    Select the subscription you want to create the service principal in

  4. Pilih Penetapan peran untuk melihat peran yang ditetapkan, dan tentukan apakah Anda memiliki izin yang memadai untuk menetapkan peran ke aplikasi AD. Jika tidak, minta administrator langganan Anda untuk menambahkan Anda ke peran Administrator Akses Pengguna. Dalam gambar berikut, pengguna diberi peran Pemilik, yang berarti pengguna memiliki izin yang memadai.

    Screenshot showing the user is assigned the Owner role.

Mendaftarkan aplikasi dengan Microsoft Azure Active Directory dan membuat perwakilan layanan

Mari kita langsung menuju ke membuat identitas. Jika Anda mengalami masalah, periksa izin yang diperlukan untuk memastikan akun Anda dapat membuat identitas.

  1. Masuk ke Akun Azure Anda melalui portal Microsoft Azure.

  2. Pilih Azure Active Directory.

  3. Pilih Pendaftaran aplikasi.

  4. Pilih Pendaftaran baru.

  5. Beri nama aplikasi. Pilih jenis akun yang didukung, yang menentukan siapa yang bisa menggunakan aplikasi. Di bagian Alihkan URI, pilih Web untuk jenis aplikasi yang ingin Anda buat. Masukkan URI tempat token akses dikirim. Anda tidak dapat membuat kredensial untuk Aplikasi asli. Anda tidak dapat menggunakan jenis tersebut untuk aplikasi otomatis. Setelah menetapkan nilai, pilih Daftar.

    Type a name for your application

Anda sudah membuat aplikasi Microsoft Azure Active Directory dan perwakilan layanan.

Catatan

Anda dapat mendaftarkan beberapa aplikasi dengan nama yang sama di Microsoft Azure Active Directory, tetapi aplikasi harus memiliki ID Aplikasi (klien) yang berbeda.

Menetapkan peran ke aplikasi

Untuk mengakses sumber daya di langganan Anda, peran ke aplikasi harus ditetapkan. Tentukan peran mana yang menawarkan izin yang tepat untuk aplikasi. Untuk mempelajari tentang peran yang tersedia, lihat Peran bawaan Azure.

Anda dapat menetapkan cakupan di tingkat langganan, grup sumber daya, atau sumber daya. Izin diturunkan ke tingkat cakupan yang lebih rendah. Misalnya, menambahkan aplikasi ke peran Pembaca untuk grup sumber daya berarti dapat membaca grup sumber daya dan sumber daya apa pun di dalamnya.

  1. Di portal Microsoft Azure, pilih tingkat cakupan yang ingin Anda tetapkan untuk aplikasi. Misalnya, untuk menetapkan peran di cakupan langganan, cari dan pilih Langganan, atau pilih Langganan di halaman Beranda.

    For example, assign a role at the subscription scope

  2. Pilih langganan tertentu untuk menetapkan aplikasi.

    Select subscription for assignment

    Jika Anda tidak melihat langganan yang Anda cari, pilih filter langganan global. Pastikan langganan yang Anda inginkan dipilih untuk portal.

  3. Pilih Kontrol Akses (IAM) .

  4. Pilih TambahkanTambahkan penetapan peran untuk membuka halaman Tambahkan penetapan peran.

  5. Pilih peran yang ingin Anda tetapkan ke aplikasi. Misalnya, untuk mengizinkan aplikasi menjalankan tindakan seperti instans boot ulang, mulai, dan hentikan, pilih peran Kontributor. Baca selengkapnya tentang peran yang tersedia Secara default, aplikasi Microsoft Azure Active Directory tidak ditampilkan di opsi yang tersedia. Untuk menemukan aplikasi Anda, cari nama dan pilih.

    Tetapkan peran Kontributor ke aplikasi pada cakupan langganan. Untuk langkah-langkah lebih detail, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure.

Perwakilan layanan Anda sudah disiapkan. Anda dapat mulai menggunakannya untuk menjalankan skrip atau aplikasi Anda. Untuk mengelola perwakilan layanan Anda (izin, izin yang disetujui pengguna, melihat pengguna mana yang telah menyetujui, meninjau izin, melihat informasi masuk, dan lainnya), buka Aplikasi perusahaan.

Bagian berikutnya memperlihatkan cara mendapatkan nilai yang diperlukan saat masuk secara terprogram.

Mendapatkan nilai penyewa dan ID aplikasi untuk masuk

Saat masuk secara terprogram, berikan ID penyewa dengan permintaan autentikasi dan ID aplikasi Anda. Anda juga memerlukan sertifikat atau kunci autentikasi (dijelaskan di bagian berikut). Untuk mendapatkan nilai tersebut, gunakan langkah-langkah berikut:

  1. Pilih Azure Active Directory.

  2. Dari Pendaftaran aplikasi di Microsoft Azure Active Directory, pilih aplikasi Anda.

  3. Salin ID Direktori (penyewa) dan simpan di kode aplikasi Anda.

    Copy the directory (tenant ID) and store it in your app code

    ID direktori (penyewa) juga dapat ditemukan di halaman gambaran umum direktori default.

  4. Salin ID Aplikasi dan simpan di kode aplikasi Anda.

    Copy the application (client) ID

Autentikasi: Dua opsi

Ada dua jenis autentikasi yang tersedia untuk perwakilan layanan: autentikasi berbasis kata sandi (rahasia aplikasi) dan autentikasi berbasis sertifikat. Sebaiknya gunakan sertifikat, tetapi Anda juga dapat membuat rahasia aplikasi.

Opsi 1: Mengunggah sertifikat

Anda bisa menggunakan sertifikat yang sudah ada jika Anda memilikinya. Secara opsional, Anda dapat membuat sertifikat yang ditandatangani sendiri untuk tujuan pengujian saja. Untuk membuat sertifikat yang ditandatangani sendiri, buka PowerShell dan jalankan New-SelfSignedCertificate dengan parameter berikut untuk membuat sertifikat di penyimpanan sertifikat pengguna di komputer Anda:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Ekspor sertifikat ini ke file yang menggunakan MMC snap-in Kelola Sertifikat Pengguna yang bisa diakses dari Panel Kontrol Windows.

  1. Pilih Jalankan dari menu Mulai, lalu masukkan certmgr.msc.

    Alat Manajer Sertifikat untuk pengguna saat ini muncul.

  2. Untuk melihat sertifikat Anda, di bagian Sertifikat - Pengguna Saat Ini di panel kiri, perluas direktori Pribadi.

  3. Klik kanan pada sertifikat yang Anda buat, pilih Semua tugas-Ekspor.

  4. Ikuti wizard Ekspor Sertifikat. Jangan ekspor kunci privat, dan ekspor ke file .CER.

Untuk mengunggah sertifikat:

  1. Pilih Azure Active Directory.

  2. Dari Pendaftaran aplikasi di Microsoft Azure Active Directory, pilih aplikasi Anda.

  3. Pilih Sertifikat rahasia.

  4. Pilih SertifikatUnggah sertifikat dan pilih sertifikat (sertifikat yang ada atau sertifikat yang ditandatangani sendiri yang Anda ekspor).

    Select Upload certificate and select the one you want to add

  5. Pilih Tambahkan.

Setelah mendaftarkan sertifikat dengan aplikasi Anda di portal pendaftaran aplikasi, aktifkan kode aplikasi klien untuk menggunakan sertifikat.

Opsi 2: Membuat rahasia aplikasi baru

Jika Anda memilih untuk tidak menggunakan sertifikat, Anda dapat membuat rahasia aplikasi baru.

  1. Pilih Azure Active Directory.

  2. Dari Pendaftaran aplikasi di Microsoft Azure Active Directory, pilih aplikasi Anda.

  3. Pilih Sertifikat rahasia.

  4. Pilih Rahasia klien - Rahasia klien baru.

  5. Berikan deskripsi rahasia, dan durasi. Setelah selesai, pilih Simpan.

    Setelah menyimpan rahasia klien, nilai rahasia klien akan ditampilkan. Salin nilai ini karena Anda tidak dapat mengambil kunci nanti. Anda akan memberikan nilai kunci dengan ID aplikasi untuk masuk sebagai aplikasi. Simpan nilai kunci di tempat aplikasi Anda dapat mengambilnya.

    Copy the secret value because you can't retrieve this later

Mengonfigurasi kebijakan akses pada sumber daya

Perlu diingat, Anda mungkin perlu mengonfigurasi izin tambahan pada sumber daya yang perlu diakses oleh aplikasi Anda. Misalnya, Anda juga harus memperbarui kebijakan akses key vault untuk memberi aplikasi Anda akses ke kunci, rahasia, atau sertifikat.

  1. Di portal Microsoft Azure, navigasikan ke key vault Anda dan pilih Kebijakan akses.
  2. Pilih Tambahkan kebijakan akses, lalu pilih izin kunci, rahasia, dan sertifikat yang ingin Anda berikan ke aplikasi Anda. Pilih perwakilan layanan yang Anda buat sebelumnya.
  3. Pilih Tambahkan untuk menambahkan kebijakan akses, lalu Simpan untuk menerapkan perubahan Anda. Add access policy

Langkah berikutnya