Nastavení jednotného přihlašování pomocí Microsoft Entra ID pro bránu Spring Cloud a portál rozhraní API

Poznámka:

Plány Basic, Standard a Enterprise budou od poloviny března 2025 vyřazeny ze 3letého období vyřazení. Doporučujeme přejít na Azure Container Apps. Další informace najdete v oznámení o vyřazení Azure Spring Apps.

Od 30. září 2024 bude od 30. září 2024 zastaralý plán s úplným vypnutím po šesti měsících. Doporučujeme přejít na Azure Container Apps. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.

Tento článek se vztahuje na:❌ Basic/Standard ✔️ Enterprise

V tomto článku se dozvíte, jak nakonfigurovat jednotné přihlašování (SSO) pro bránu Spring Cloud nebo portál rozhraní API pomocí ID Microsoft Entra jako zprostředkovatele identifikace OpenID.

Požadavky

• Instance plánu Enterprise s povolenou bránou Spring Cloud nebo portálem API Další informace najdete v tématu Rychlý start: Sestavování a nasazování aplikací do Azure Spring Apps pomocí plánu Enterprise.
• Dostatečná oprávnění ke správě aplikací Microsoft Entra.

Pokud chcete povolit jednotné přihlašování pro bránu Spring Cloud nebo portál rozhraní API, musíte mít nakonfigurované následující čtyři vlastnosti:

Vlastnost jednotného přihlašování	Konfigurace Microsoft Entra
clientId	Viz Registrace aplikace
clientSecret	Viz Vytvoření tajného klíče klienta
rozsah	Viz Konfigurace oboru
issuerUri	Viz Identifikátor URI generování vystavitele

Vlastnosti v ID Microsoft Entra nakonfigurujete v následujících krocích.

Přiřazení koncového bodu pro bránu Spring Cloud nebo portál rozhraní API

Nejprve musíte získat přiřazený veřejný koncový bod pro bránu Spring Cloud a portál rozhraní API pomocí následujícího postupu:

1. Na webu Azure Portal otevřete instanci služby plánu Enterprise.
2. V levé nabídce vyberte bránu Spring Cloud nebo portál rozhraní API v části Komponenty VMware Tanzu.
3. Vyberte Ano vedle možnosti Přiřadit koncový bod.
4. Zkopírujte adresu URL pro použití v další části tohoto článku.

Vytvoření registrace aplikace Microsoft Entra

Pomocí následujícího postupu zaregistrujte aplikaci a vytvořte vztah důvěryhodnosti mezi vaší aplikací a platformou Microsoft Identity Platform:

1. Na domovské obrazovce v nabídce vlevo vyberte Microsoft Entra ID.
2. V části Spravovat vyberte Registrace aplikací a pak vyberte Nová registrace.
3. Do pole Název zadejte zobrazovaný název aplikace a pak vyberte typ účtu, který chcete zaregistrovat v části Podporované typy účtů.
4. V identifikátoru URI přesměrování (volitelné) vyberte Web a do textového pole zadejte adresu URL z výše uvedeného oddílu. Identifikátor URI přesměrování je umístění, kam Microsoft Entra ID přesměruje vašeho klienta a po ověření odesílá tokeny zabezpečení.
5. Výběrem možnosti Zaregistrovat dokončete registraci aplikace.

Po dokončení registrace se na stránce Přehled na stránce Registrace aplikací* zobrazí ID aplikace (klienta).

Přidání identifikátoru URI přesměrování po registraci aplikace

Identifikátory URI přesměrování můžete přidat i po registraci aplikace pomocí následujícího postupu:

1. V přehledu aplikace v části Spravovat v nabídce vlevo vyberte Ověřování.
2. Vyberte Web a pak v části Identifikátory URI pro přesměrování vyberte Přidat identifikátor URI.
3. Přidejte nový identifikátor URI přesměrování a pak vyberte Uložit.

Další informace o registraci aplikací najdete v tématu Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform.

Přidání tajného klíče klienta

Aplikace používá tajný klíč klienta k ověření v pracovním postupu jednotného přihlašování. Tajný klíč klienta můžete přidat pomocí následujících kroků:

1. V přehledu aplikace v části Spravovat v nabídce vlevo vyberte Certifikáty a tajné kódy.
2. Vyberte Tajné kódy klienta a pak vyberte Nový tajný klíč klienta.
3. Zadejte popis tajného klíče klienta a nastavte datum vypršení platnosti.
4. Vyberte Přidat.

Upozorňující

Nezapomeňte uložit tajný klíč klienta na bezpečném místě. Po opuštění této stránky ho nemůžete načíst. Tajný klíč klienta by měl být poskytnut s ID klienta, když se přihlásíte jako aplikace.

Konfigurace oboru

Vlastnost scope jednotného přihlašování je seznam oborů, které se mají zahrnout do tokenů identit JWT. Často se označují jako oprávnění. Platforma Identity podporuje několik oborů OpenID Connect, například openid, emaila profile. Další informace najdete v části Rozsahy a oprávnění OpenID Connect na platformě Microsoft Identity Platform.

Konfigurace identifikátoru URI vystavitele

Identifikátor URI vystavitele je identifikátor URI, který se používá jako identifikátor vystavitele. Pokud je https://example.comnapříklad zadaný identifikátor URI vystavitele , provede se požadavek na konfiguraci zprostředkovatele OpenID .https://example.com/.well-known/openid-configuration

Identifikátor URI vystavitele Microsoft Entra ID je podobný <authentication-endpoint>/<Your-TenantID>/v2.0. Nahraďte <authentication-endpoint> koncový bod ověřování pro vaše cloudové prostředí (například https://login.microsoftonline.com pro globální Azure) a nahraďte <Your-TenantID> ID adresáře (tenanta), ve kterém byla aplikace zaregistrovaná.

Konfigurace jednotného přihlašování

Po konfiguraci aplikace Microsoft Entra můžete nastavit vlastnosti jednotného přihlašování brány Spring Cloud nebo portálu API pomocí následujícího postupu:

1. V levé nabídce vyberte bránu Spring Cloud nebo portál rozhraní API v části Komponenty VMware Tanzu a pak vyberte Konfigurace.
2. Zadejte pole Scope, Client IdClient Secreta Issuer URI do příslušných polí. Oddělte více oborů čárkou.
3. Vyberte Uložit a povolte konfiguraci jednotného přihlašování.

Poznámka:

Po konfiguraci vlastností jednotného přihlašování nezapomeňte povolit jednotné přihlašování pro trasy brány Spring Cloud nastavením ssoEnabled=true. Další informace najdete v tématu Konfigurace trasy.

Další kroky

• Konfigurace tras