Použití spravovaných identit pro aplikace v Azure Spring Apps
Poznámka:
Plány Basic, Standard a Enterprise budou od poloviny března 2025 vyřazeny ze 3letého období vyřazení. Doporučujeme přejít na Azure Container Apps. Další informace najdete v oznámení o vyřazení Azure Spring Apps.
Od 30. září 2024 bude od 30. září 2024 zastaralý plán s úplným vypnutím po šesti měsících. Doporučujeme přejít na Azure Container Apps. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.
Tento článek se vztahuje na: ✔️ Basic/Standard ✔️ Enterprise
V tomto článku se dozvíte, jak používat spravované identity přiřazené systémem a přiřazené uživatelem pro aplikace v Azure Spring Apps.
Spravované identity pro prostředky Azure poskytují automaticky spravovanou identitu v Microsoft Entra ID prostředku Azure, jako je vaše aplikace v Azure Spring Apps. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.
Stav funkce
| Přiřazeno systémem | Přiřazeno uživatelem |
|---|---|
| GA | GA |
Správa spravované identity pro aplikaci
Informace o spravovaných identitách přiřazených systémem najdete v tématu Povolení a zakázání spravované identity přiřazené systémem.
Informace o spravovaných identitách přiřazených uživatelem najdete v tématu Přiřazení a odebrání spravovaných identit přiřazených uživatelem.
Získání tokenů pro prostředky Azure
Aplikace může pomocí své spravované identity získat tokeny pro přístup k dalším prostředkům chráněným ID Microsoft Entra, jako je Azure Key Vault. Tyto tokeny představují aplikaci, která přistupuje k prostředku, nikoli žádnému konkrétnímu uživateli aplikace.
Cílový prostředek můžete nakonfigurovat tak, aby povolil přístup z vaší aplikace. Další informace najdete v tématu Přiřazení přístupu spravované identity k prostředku Azure nebo jinému prostředku. Pokud například požadujete token pro přístup ke službě Key Vault, ujistěte se, že jste přidali zásady přístupu, které zahrnují identitu vaší aplikace. Jinak budou vaše volání do služby Key Vault odmítnuta, i když token zahrnují. Další informace o tom, které prostředky podporují tokeny Microsoft Entra, najdete v tématu Služby Azure, které podporují ověřování Microsoft Entra.
Azure Spring Apps sdílí stejný koncový bod pro získání tokenu se službou Azure Virtual Machines. K získání tokenu doporučujeme použít sadu Java SDK nebo úvodní sady Spring Boot. Různé příklady kódu a skriptů a také pokyny k důležitým tématům, jako je zpracování vypršení platnosti tokenu a chyb HTTP, najdete v tématu Použití spravovaných identit pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.
Příklady připojení služeb Azure v kódu aplikace
Následující tabulka obsahuje odkazy na články, které obsahují příklady:
Osvědčené postupy při používání spravovaných identit
Důrazně doporučujeme používat spravované identity přiřazené systémem a přiřazené uživatelem samostatně, pokud nemáte platný případ použití. Pokud používáte oba druhy spravované identity společně, může k selhání dojít v případě, že aplikace používá spravovanou identitu přiřazenou systémem a aplikace získá token bez zadání ID klienta této identity. Tento scénář může fungovat správně, dokud se k této aplikaci přiřadí jedna nebo více spravovaných identit přiřazených uživatelem. Aplikace pak nemusí získat správný token.
Omezení
Maximální počet spravovaných identit přiřazených uživatelem na aplikaci
Maximální počet spravovaných identit přiřazených uživatelem na aplikaci najdete v tématu Kvóty a plány služeb pro Azure Spring Apps.
Mapování konceptů
Následující tabulka ukazuje mapování mezi koncepty v oboru spravované identity a oborem Microsoft Entra:
| Rozsah spravované identity | Rozsah Microsoft Entra |
|---|---|
| ID objektu zabezpečení | ID objektu |
| Client ID | ID aplikace |