Administración de identidades administradas asignadas por el usuario para una aplicación en Azure Spring Apps
Nota:
Azure Spring Apps es el nuevo nombre del servicio Azure Spring Cloud. Aunque el servicio tiene un nuevo nombre, verá el nombre antiguo en algunos lugares durante un tiempo mientras trabajamos para actualizar recursos, como capturas de pantalla, vídeos y diagramas.
La información de este artículo puede ponerse en práctica en: ✔️ Básico o Estándar ✔️ Enterprise
En este artículo, se muestra cómo asignar y quitar las identidades administradas asignadas por el usuario para una aplicación de Azure Spring Apps mediante Azure Portal y la CLI de Azure.
Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente en el identificador de Microsoft Entra a un recurso de Azure, como la aplicación en Azure Spring Apps. Puede usar esta identidad para autenticar a cualquier servicio que admita la autenticación de Microsoft Entra, sin necesidad de tener credenciales en el código.
Requisitos previos
- Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte ¿Qué son las identidades administradas para los recursos de Azure?
- Una instancia de plan de Azure Spring Apps Enterprise ya aprovisionada. Para más información, consulte Inicio rápido: Compilación e implementación de aplicaciones en Azure Spring Apps mediante el plan Enterprise.
- CLI de Azure: versión 2.45.0 o superior.
- La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar versiones anteriores e instalar la extensión más reciente:
az extension remove --name spring az extension add --name spring
- Al menos una identidad administrada asignada por el usuario ya aprovisionada. Para obtener más información, consulte Administración de identidades administradas asignadas por el usuario.
- Una instancia de Azure Spring Apps ya aprovisionada. Para más información, consulte Inicio rápido: implementación de la primera aplicación en Azure Spring Apps.
- CLI de Azure: versión 2.45.0 o superior.
- La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar versiones anteriores e instalar la extensión más reciente:
az extension remove --name spring az extension add --name spring
- Al menos una identidad administrada asignada por el usuario ya aprovisionada. Para obtener más información, consulte Administración de identidades administradas asignadas por el usuario.
Asignación de identidades administradas asignadas por el usuario al crear una aplicación
Cree una aplicación y asigne una identidad administrada asignada por el usuario al mismo tiempo mediante el comando siguiente:
az spring app create \
--resource-group <resource-group-name> \
--name <app-name> \
--service <service-instance-name> \
--user-assigned <space-separated user identity resource IDs to assign>
Asignación de identidades administradas asignadas por el usuario a una aplicación existente
La asignación de una identidad administrada asignada por el usuario requiere establecer otra propiedad en la aplicación.
Para asignar una identidad administrada asignada por el usuario a una aplicación existente en el Azure Portal, siga estos pasos:
- Vaya a una aplicación en el Azure Portal como lo haría normalmente.
- Desplácese hacia abajo hasta el grupo Configuración en el panel de navegación izquierdo.
- Seleccione Identidad.
- Dentro de la pestaña Usuario asignado, seleccione Agregar.
- Elija una o varias identidades administradas asignadas por el usuario en el panel derecho y luego seleccione Agregar en este panel.
Obtención de tokens para recursos de Azure
Una aplicación puede usar su identidad administrada para obtener tokens para acceder a otros recursos protegidos por el identificador de Microsoft Entra, como Azure Key Vault. Estos tokens representan a la aplicación que accede al recurso, no a un usuario específico de la aplicación.
Es posible que deba configurar el recurso de destino para permitir el acceso desde la aplicación. Para más información, consulte Asignación de acceso de una identidad administrada a un recurso mediante Azure Portal. Por ejemplo, si solicita un token para acceder a Key Vault, asegúrese de que ha agregado una directiva de acceso que incluya la identidad de la aplicación. De lo contrario, se rechazan las llamadas a Key Vault, aunque incluyan el token. Para más información sobre qué recursos admiten tokens de Microsoft Entra, consulte Servicios de Azure que admiten la autenticación de Microsoft Entra.
Azure Spring Apps y las máquinas virtuales de Azure comparten el mismo punto de conexión para la adquisición de tokens. Se recomienda usar el SDK de Java o iniciadores de Spring Boot para adquirir un token. Para ver varios ejemplos de código y script, e instrucciones sobre temas importantes, como controlar la expiración de tokens y los errores HTTP, consulte Uso de identidades administradas para recursos de Azure en una máquina virtual de Azure para adquirir un token de acceso.
Eliminación de identidades administradas asignadas por el usuario de una aplicación existente
Al quitar identidades administradas asignadas por el usuario, se quita la asignación entre las identidades y la aplicación y no se eliminan las propias identidades.
Para quitar identidades administradas asignadas por el usuario de una aplicación que ya no la necesita, siga estos pasos:
- Inicie sesión en Azure Portal con una cuenta asociada a la suscripción a Azure que contiene la instancia de Azure Spring Apps.
- Vaya a la aplicación que desee y seleccione Identidad.
- En Asignado por el usuario, seleccione identidades de destino y luegoQuitar.
Limitaciones
Para ver las limitaciones de identidad administrada asignadas por el usuario, consulte Cuotas y planes de servicio para Azure Spring Apps.