Povolit systémem přiřazenou spravovanou identitu pro aplikaci v Azure Spring Apps

Poznámka:

Plány Basic, Standarda Enterprise vstoupily do důchodového období 17. března 2025. Další informace najdete v oznámení o vyřazení Azure Spring Apps.

Tento článek se vztahuje na:✅ Basic/Standard ✅ Enterprise

V tomto článku se dozvíte, jak povolit a zakázat spravované identity přiřazené systémem pro aplikaci v Azure Spring Apps pomocí webu Azure Portal a rozhraní příkazového řádku.

Spravované identity pro prostředky Azure poskytují automaticky spravovanou identitu v Microsoft Entra ID pro prostředky v Azure, jako je třeba vaše aplikace v Azure Spring Apps. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.

Požadavky

Pokud neznáte spravované identity pro prostředky Azure, přečtěte si téma Co jsou spravované identity pro prostředky Azure?

• Již zřízená instance plánu Azure Spring Apps Enterprise. Další informace najdete v tématu Rychlý start: Sestavování a nasazování aplikací do Azure Spring Apps pomocí plánu Enterprise.
• Azure CLI verze 2.45.0 nebo vyšší
• Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:

  az extension remove --name spring
  az extension add --name spring
  

• Už zřízená instance Azure Spring Apps. Další informace najdete v tématu Rychlý start: Nasazení první aplikace do Azure Spring Apps.
• Azure CLI verze 2.45.0 nebo vyšší
• Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:

  az extension remove --name spring
  az extension add --name spring
  

Přidání identity přiřazené systémem

Vytvoření aplikace s identitou přiřazenou systémem vyžaduje nastavení jiné vlastnosti aplikace.

Portal

Pokud chcete nastavit spravovanou identitu na portálu, nejprve vytvořte aplikaci a pak tuto funkci povolte.

1. Vytvořte na portálu aplikaci, jak byste normálně měli. Přejděte na něj v portálu.
2. Posuňte se dolů ke skupině Nastavení v levém navigačním podokně.
3. Vyberte Identita.
4. Na kartě Přiřazený systém přepněte stav na Zapnuto. Zvolte Uložit.

Azure CLI

Spravovanou identitu přiřazenou systémem můžete povolit při vytváření aplikace nebo v existující aplikaci.

Povolení systémem přiřazené spravované identity při vytváření aplikace

Následující příklad vytvoří aplikaci app_name s spravovanou identitou přiřazenou systémem podle požadavku parametru --assign-identity .

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Povolení spravované identity přiřazené systémem v existující aplikaci

Pomocí az spring app identity assign příkazu povolíte identitu přiřazenou systémem v existující aplikaci.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Získání tokenů pro prostředky Azure

Aplikace může pomocí své spravované identity získat tokeny pro přístup k dalším prostředkům chráněným ID Microsoft Entra, jako je Azure Key Vault. Tyto tokeny představují aplikaci, která přistupuje k prostředku, nikoli žádného konkrétního uživatele aplikace.

Možná budete muset nakonfigurovat cílový prostředek tak, aby umožňoval přístup z vaší aplikace. Další informace najdete v tématu Přiřazení přístupu spravované identity k prostředku Azure nebo jinému prostředku. Pokud například požádáte o token pro přístup ke službě Key Vault, ujistěte se, že jste přidali zásady přístupu, které zahrnují identitu vaší aplikace. Jinak se vaše volání do služby Key Vault zamítnou, i když token obsahují. Další informace o tom, které prostředky podporují tokeny Microsoft Entra, najdete ve službách Azure, které můžou používat spravované identity pro přístup k jiným službám.

Azure Spring Apps sdílí stejný koncový bod pro získání tokenu s virtuálním počítačem Azure. K získání tokenu doporučujeme použít sadu Java SDK nebo úvodní sady Spring Boot. Různé příklady kódu a skriptů a pokyny k důležitým tématům, jako je zpracování vypršení platnosti tokenu a chyb HTTP, najdete v tématu Použití spravovaných identit pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.

Zakázání identity přiřazené systémem z aplikace

Odebráním identity přiřazené systémem se odstraní také z ID Microsoft Entra. Odstraněním prostředku aplikace se automaticky odeberou identity přiřazené systémem z ID Microsoft Entra.

Portal

Pomocí následujících kroků odeberte spravovanou identitu přiřazenou systémem z aplikace, která ji už nepotřebuje:

1. Přihlaste se k portálu pomocí účtu přidruženého k předplatnému Azure, které obsahuje instanci Azure Spring Apps.
2. Přejděte do požadované aplikace a vyberte Identita.
3. V části Systémem přiřazený/Stav vyberte Vypnuto a pak vyberte Uložit:

Azure CLI

Pokud chcete odebrat spravovanou identitu přiřazenou systémem z aplikace, která ji už nepotřebuje, použijte následující příkaz:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Získání ID klienta z ID objektu (hlavní ID)

Pomocí následujícího příkazu získejte ID klienta z hodnoty ID objektu nebo hlavního uživatele:

az ad sp show --id <object-ID> --query appId

---

Další kroky

• Co jsou spravované identity pro prostředky Azure?
• Jak používat spravované identity se sadou Java SDK