Mengonfigurasi autentikasi dan akses API

Azure API Management

Fiodar Sazanavets

Senior Software Engineer at Microsoft

Pentingnya keamanan API

Keamanan HTTP

  • Endpoint API sering bersifat publik
  • Data di balik API harus dilindungi
  • Terutama untuk data sensitif
Azure API Management

Tinjauan autentikasi

  • Autentikasi dan otorisasi tidak sama
  • Autentikasi membuktikan identitas pemanggil
  • Masuk dengan nama pengguna dan kata sandi adalah jenis autentikasi

Form masuk

Azure API Management

Tinjauan otorisasi

Permintaan tidak aman vs aman

  • Otorisasi mengendalikan izin
  • Pengguna yang terautentikasi bisa tetap tidak berotorisasi
  • Contoh: hanya admin dapat mengakses area admin
Azure API Management

Contoh aplikasi cuaca

Otorisasi aplikasi cuaca

Azure API Management

Pengantar OAuth

  • OAuth digunakan untuk autentikasi
  • Juga untuk otorisasi
  • Protokol keamanan yang kompleks
  • Memiliki tingkat keamanan sangat tinggi

Penerbitan token akses

Azure API Management

Contoh OAuth Google

Contoh OAuth Google

Azure API Management

Otorisasi kunci API di Azure Functions

  • Autentikasi tidak selalu diperlukan untuk otorisasi
  • Endpoint HTTP dapat diamankan dengan kunci API
  • Rangkaian karakter yang panjang
  • Di Azure Functions kunci bawaan dibuat otomatis
  • Kunci harus disertakan dalam permintaan
  • Klien harus mengetahui kunci tersebut
  • Klien tidak perlu membuktikan identitasnya

Menyiapkan kunci API di Azure

Azure API Management

Beragam cakupan kunci API

Cakupan kunci API dalam Azure Function

  • Cakupan berbeda untuk jenis kunci berbeda
  • Kunci tingkat fungsi memberi akses ke fungsi tertentu
    • Seperti kunci fisik yang membuka satu pintu
  • Kunci tingkat host
    • Memberi akses ke semua fungsi dalam satu aplikasi
    • seperti kunci induk yang membuka semua pintu di gedung
Azure API Management

Autentikasi pada API Management

  • APIM dapat dihubungkan ke penyedia autentikasi
  • Salah satunya adalah Entra ID
    • Sebelumnya dikenal sebagai Active Directory
  • Integrasi dengan OAuth lebih aman daripada kunci API
    • Namun jauh lebih kompleks

Mengaktifkan integrasi Entra ID di APIM

Azure API Management

Kebijakan otorisasi API Management

 

Validasi JWT di APIM

Otorisasi diterapkan melalui kebijakan di API Management

  • Kebijakan menetapkan aturan akses

  • Batasi endpoint berdasarkan peran

  • Pastikan hanya klien berotorisasi memanggil API

Azure API Management

Ayo berlatih!

Azure API Management

Preparing Video For Download...