Freigeben über


Einrichten des einmaligen Anmeldens mithilfe von Microsoft Entra ID für Spring Cloud Gateway und das API-Portal

Hinweis

Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.

Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren des Plans „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.

Dieser Artikel gilt für:❌ Basic/Standard ✔️ Enterprise

In diesem Artikel wird gezeigt, wie Sie einmaliges Anmelden (Single Sign-On, SSO) für Spring Cloud Gateway oder das API-Portal mithilfe von Microsoft Entra ID als OpenID-Identitätsanbieter konfigurieren.

Voraussetzungen

Damit SSO für Spring Cloud Gateway oder das API-Portal aktiviert werden kann, müssen die folgenden vier Eigenschaften konfiguriert sein:

SSO-Eigenschaft Microsoft Entra Konfiguration
clientId Siehe Registrieren der App
clientSecret Siehe Erstellen eines geheimen Clientschlüssels
scope Siehe Konfigurieren des Bereichs
issuerUri Siehe Erstellen des Aussteller-URI

Sie konfigurieren die Eigenschaften in Microsoft Entra ID entsprechend den folgenden Schritten.

Zuweisen eines Endpunkts für Spring Cloud Gateway oder das API-Portal

Zunächst müssen Sie den zugewiesenen öffentlichen Endpunkt für Spring Cloud Gateway und das API-Portal erhalten, indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie im Azure-Portal die Dienstinstanz Ihres Enterprise-Plans.
  2. Wählen Sie im linken Menü unter VMware Tanzu-Komponenten die Option Spring Cloud Gateway oder API-Portal aus.
  3. Wählen Sie neben Endpunkt zuweisen die Option Ja aus.
  4. Kopieren Sie die URL für die Verwendung im nächsten Abschnitt dieses Artikels.

Erstellen einer Microsoft Entra-Anwendungsregistrierung

Registrieren Sie Ihre Anwendung, um eine Vertrauensstellung zwischen Ihrer App und Microsoft Identity Platform. Gehen Sie hierzu wie folgt vor:

  1. Wählen Sie auf dem Startbildschirm aus dem Menü links die Option Microsoft Entra ID aus.
  2. Wählen Sie unter Verwalten die Option App-Registrierungen und dann Neue Registrierung aus.
  3. Geben Sie unter Name einen Anzeigenamen für Ihre Anwendung ein, und wählen Sie dann einen Kontotyp aus, der unter Unterstützte Kontotypen registriert werden soll.
  4. Wählen Sie unter Umleitungs-URI (optional) die Option Web aus, und geben Sie dann die URL aus dem obigen Abschnitt in das Textfeld ein. Der Umleitungs-URI ist die Adresse, an die Microsoft Entra ID nach der Authentifizierung den Client umleitet und die Sicherheitstoken sendet.
  5. Wählen Sie Registrieren aus, um die Registrierung der Anwendung abzuschließen.

Wenn die Registrierung abgeschlossen ist, wird die Anwendungs-ID (Client) auf dem Bildschirm Übersicht der Seite App-Registrierungen* angezeigt.

Hinzufügen eines Umleitungs-URI zur App-Registrierung

Sie können auch Umleitungs-URIs nach der App-Registrierung hinzufügen, indem Sie die folgenden Schritte ausführen:

  1. Wählen Sie im linken Menü Ihrer Anwendungsübersicht unter Verwalten die Option Authentifizierung aus.
  2. Wählen Sie Web und dann unter Umleitungs-URIs die Option URI hinzufügen aus.
  3. Fügen Sie einen neuen Umleitungs-URI hinzu, und wählen Sie dann Speichern aus.

Screenshot: Hinzufügen eines Umleitungs-URI zum Authentifizierungsbildschirm

Weitere Informationen zur Anwendungsregistrierung finden Sie unter Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.

Hinzufügen eines geheimen Clientschlüssels

Die Anwendung verwendet einen geheimen Clientschlüssel, um sich im SSO-Workflow zu authentifizieren. Sie können einen geheimen Clientschlüssel wie folgt hinzufügen:

  1. Wählen Sie im linken Menü Ihrer Anwendungsübersicht unter Verwalten die Option Zertifikate und Geheimnisse aus.
  2. Wählen Sie Geheime Clientschlüssel und dann Neuer geheimer Clientschlüssel aus.
  3. Geben Sie eine Beschreibung für den geheimen Clientschlüssel ein, und legen Sie dann ein Ablaufdatum fest.
  4. Wählen Sie Hinzufügen.

Warnung

Denken Sie daran, den geheimen Clientschlüssel an einem sicheren Ort zu speichern. Sie können ihn nicht mehr abrufen, nachdem Sie die Seite verlassen haben. Der geheime Clientschlüssel muss bei der Anmeldung als Anwendung mit der Client-ID bereitgestellt werden.

Konfigurieren des Suchbereichs

Die Eigenschaft scope von SSO ist eine Liste der Bereiche, die in JWT-Identitätstoken enthalten sein sollen. Oftmals werden sie auch als Berechtigungen bezeichnet. Identity Platform unterstützt mehrere OpenID Connect-Bereiche, z. B. openid, email und profile. Weitere Informationen finden Sie unter Bereiche und Berechtigungen in Microsoft Identity Platform im Abschnitt OpenID Connect-Bereiche.

Konfigurieren des Aussteller-URI

Der Aussteller-URI ist der URI, der als Ausstellerbezeichner bestätigt wird. Wenn der angegebene Aussteller-URI z. B. https://example.com lautet, wird eine OpenID-Anbieterkonfigurationsanforderung an https://example.com/.well-known/openid-configuration ausgegeben.

Der Aussteller-URI der Microsoft Entra ID entspricht <authentication-endpoint>/<Your-TenantID>/v2.0. Ersetzen Sie <authentication-endpoint> durch den Authentifizierungsendpunkt für Ihre Cloudumgebung (z. B. https://login.microsoftonline.com für globales Azure), und ersetzen Sie <Your-TenantID>durch die Verzeichnis-ID (Mandanten-ID), in der die Anwendung registriert wurde.

Konfigurieren von SSO

Nachdem Sie Ihre Microsoft Entra-Anwendung konfiguriert haben, können Sie die SSO-Eigenschaften von Spring Cloud Gateway oder dem API-Portal folgendermaßen einrichten:

  1. Wählen Sie im linken Menü unter VMware Tanzu-Komponenten die Option Spring Cloud Gateway oder API-Portal aus, dann wählen Sie Konfiguration aus.
  2. Geben Sie die entsprechenden Felder Scope, Client Id, Client Secret und Issuer URI ein. Trennen Sie mehrere Bereiche durch ein Komma.
  3. Wählen Sie Speichern aus, um die SSO-Konfiguration zu aktivieren.

Hinweis

Denken Sie nach dem Konfigurieren von SSO-Eigenschaften daran, SSO für die Spring Cloud Gateway-Routen zu aktivieren, indem Sie ssoEnabled=true festlegen. Weitere Informationen finden Sie unter Konfigurieren von Routen.

Nächste Schritte