Habilitación de la identidad administrada asignada por el sistema para una aplicación de Azure Spring Apps
Nota:
Los planes Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de retirada de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte el anuncio de retirada de Azure Spring Apps.
El plan Estándar por consumo y dedicado quedará obsoleto a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte Migrar el plan Estándar por consumo y dedicado de Azure Spring Apps a Azure Container Apps.
La información de este artículo puede ponerse en práctica en: ✔️ Básico o Estándar ✔️ Enterprise
En este artículo se muestra cómo habilitar y deshabilitar las identidades administradas asignadas por el sistema para una aplicación de Azure Spring Apps mediante Azure Portal y la CLI.
Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente en Microsoft Entra ID a un recurso de Azure, como la aplicación en Azure Spring Apps. Puede usar esta identidad para autenticar a cualquier servicio que admita la autenticación de Microsoft Entra, sin necesidad de tener credenciales en el código.
Requisitos previos
Si no está familiarizado con las identidades administradas para los recursos de Azure, consulte ¿Qué son las identidades administradas para recursos de Azure?
- Una instancia de plan de Azure Spring Apps Enterprise ya aprovisionada. Para más información, consulte Inicio rápido: Compilación e implementación de aplicaciones en Azure Spring Apps con el plan Enterprise.
- CLI de Azure: versión 2.45.0 o superior.
- La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar las versiones anteriores e instalar la extensión más reciente:
az extension remove --name spring az extension add --name spring
- Una instancia de Azure Spring Apps ya aprovisionada. Para más información, consulte Inicio rápido: implementación de la primera aplicación en Azure Spring Apps.
- CLI de Azure: versión 2.45.0 o superior.
- La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar las versiones anteriores e instalar la extensión más reciente:
az extension remove --name spring az extension add --name spring
Adición de una identidad asignada por el sistema
Para crear una aplicación con una identidad asignada por el sistema es necesario configurar otra propiedad en la aplicación.
Para configurar una identidad administrada en el portal, primero cree una aplicación y luego habilite la característica.
- Cree una aplicación en el portal como lo haría normalmente. Navegue hasta el portal.
- Desplácese hacia abajo hasta el grupo Configuración en el panel de navegación izquierdo.
- Seleccione Identidad.
- En la pestaña Asignado por el sistema, cambie Estado a Activado. Seleccione Guardar.
Obtención de tokens para recursos de Azure
Una aplicación puede usar su identidad administrada para obtener tokens para acceder a otros recursos protegidos por Microsoft Entra ID, como Azure Key Vault. Estos tokens representan a la aplicación que accede al recurso, no a un usuario específico de la aplicación.
Es posible que tenga que configurar el recurso de destino para habilitar el acceso desde la aplicación. Para más información, consulte Asignación de un acceso de identidad administrada a un recurso de Azure u otro recurso. Por ejemplo, si se solicita un token para acceder a Key Vault, asegúrese de haber agregado una directiva de acceso que incluya la identidad de la aplicación. De lo contrario, las llamadas a Key Vault se rechazan, incluso si incluyen el token. Para obtener más información sobre los recursos que admiten tokens de Microsoft Entra, consulte Servicios de Azure que pueden usar identidades administradas para acceder a otros servicios.
Azure Spring Apps y la máquina virtual de Azure comparten el mismo punto de conexión para la adquisición de tokens. Se recomienda usar el SDK de Java o el iniciador de Spring Boot para adquirir un token. Para obtener varios ejemplos de código y script e instrucciones sobre temas importantes, como el control de la expiración de tokens y los errores HTTP, consulte Uso de identidades administradas para recursos de Azure en una máquina virtual de Azure para adquirir un token de acceso.
Deshabilitación de una identidad asignada por el sistema desde una aplicación
Al quitar una identidad asignada por el sistema también se elimina de Microsoft Entra ID. Cuando se elimina el recurso de la aplicación, las identidades asignadas por el sistema se quitan automáticamente de Microsoft Entra ID.
Siga estos pasos para quitar la identidad administrada asignada por el sistema de una aplicación que ya no la necesite:
- Inicie sesión en el portal con una cuenta asociada a la suscripción a Azure que contiene la instancia de Azure Spring Apps.
- Vaya a la aplicación que desee y seleccione Identidad.
- En Asignado por el sistema/Estado, seleccione Desactivado y después Guardar:
Obtención del identificador de cliente a partir del identificador de objeto (id. de la entidad de seguridad)
Use el siguiente comando para obtener el identificador de cliente del valor de id. de objeto o de entidad de seguridad:
az ad sp show --id <object-ID> --query appId