Activer une identité managée affectée par le système pour une application dans Azure Spring Apps

  • Article

Remarque

Azure Spring Apps est le nouveau nom du service Azure Spring Cloud. Bien que le service ait un nouveau nom, vous verrez l’ancien nom à divers endroits pendant un certain temps, car nous travaillons à mettre à jour les ressources telles que les captures d’écran, les vidéos et les diagrammes.

Cet article s’applique au : Niveau ✔️ De base/Standard ✔️ Entreprise

Cet article explique comment activer et désactiver les identités managées affectées par le système pour une application dans Azure Spring Apps, à l’aide du portail Azure et de l’interface CLI.

Les identités managées pour les ressources Azure fournissent une identité managée automatiquement dans Microsoft Entra ID à une ressource Azure telle que votre application dans Azure Spring Apps. Vous pouvez utiliser cette identité pour vous authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra, sans avoir d’informations d’identification dans votre code.

Prérequis

Si vous n’êtes pas familiarisé avec les identités managées pour les ressources Azure, consultez Qu’est-ce que les identités managées pour les ressources Azure ?

  • Instance de plan Azure Spring Apps Enterprise déjà provisionnée. Pour plus d’informations, consultez Démarrage rapide : Créer et déployer des applications sur Azure Spring Apps à l’aide du plan Entreprise.
  • Azure CLI version 2.45.0 ou ultérieure.
  • L’extension Azure Spring Apps pour Azure CLI prend en charge l’identité managée affectée par l’utilisateur avec la version 1.0.0 ou ultérieure. Utilisez la commande suivante pour supprimer les versions précédentes et installer la dernière extension : 
    az extension remove --name spring
az extension add --name spring
  • Une instance Azure Spring Apps déjà provisionnée. Pour plus d’informations, consultez Démarrage rapide : Déployer votre première application sur Azure Spring Apps.
  • Azure CLI version 2.45.0 ou ultérieure.
  • L’extension Azure Spring Apps pour Azure CLI prend en charge l’identité managée affectée par l’utilisateur avec la version 1.0.0 ou ultérieure. Utilisez la commande suivante pour supprimer les versions précédentes et installer la dernière extension : 
    az extension remove --name spring
az extension add --name spring

Ajouter une identité affectée par le système

La création d’une application avec une identité affectée par le système nécessite la définition d’une autre propriété sur l’application.

Pour configurer une identité managée à partir du portail Azure, commencez par créer une application, puis activez la fonctionnalité.

  1. Créez une application dans le portail, comme vous le feriez normalement. Accédez-y dans le portail.
  2. Faites défiler l'écran jusqu'au groupe Paramètres dans le volet de navigation gauche.
  3. Sélectionnez Identité.
  4. Dans l’onglet Attribuée par le système, définissez État sur Activé. Sélectionnez Enregistrer.

Screenshot of Azure portal showing the Identity screen for an application.

Obtenir des jetons pour les ressources Azure

Une application peut utiliser son identité managée pour obtenir des jetons pour accéder à d’autres ressources protégées par l’ID Microsoft Entra, comme Azure Key Vault. Ces jetons représentent l'application qui accède à la ressource, et non un utilisateur spécifique de l'application.

Vous pouvez être amené à configurer la ressource cible pour autoriser l'accès à partir de votre application. Par exemple, si vous demandez un jeton pour accéder à Key Vault, vérifiez que vous avez ajouté une stratégie d'accès qui inclut l'identité de votre application. Sinon, vos appels à Key Vault sont rejetés, même s’ils incluent le jeton. Pour en savoir plus sur les ressources qui prennent en charge les jetons Microsoft Entra, consultez les services Azure qui peuvent utiliser des identités managées pour accéder à d’autres services.

Azure Spring Apps partage le même point de terminaison pour l’acquisition de jetons auprès d’Azure Virtual Machine. Nous vous recommandons d’utiliser le SDK Java ou des instances Spring Boot Starters pour acquérir un jeton. Pour obtenir des exemples de code et de script différents et des conseils sur des sujets importants tels que la gestion de l’expiration des jetons et des erreurs HTTP, consultez Guide pratique de l’utilisation d’identités managées pour ressources Azure sur une machine virtuelle Azure afin d’acquérir un jeton d’accès.

Désactiver l'identité affectée par le système d'une application

La suppression d’une identité affectée par le système le supprime également de l’ID Microsoft Entra. La suppression de la ressource d’application supprime automatiquement les identités affectées par le système de l’ID Microsoft Entra.

Procédez comme suit pour supprimer l’identité managée affectée par le système d’une application qui n’en a plus besoin :

  1. Connectez-vous au portail Azure à l’aide d’un compte associé à l’abonnement Azure qui contient l’instance d’Azure Spring Apps.
  2. Accédez à l’application souhaitée et sélectionnez Identité.
  3. Sous Affectée par le système/État, sélectionnez Désactivé, puis cliquez sur Enregistrer :

Screenshot of Azure portal showing the Identity screen for an application, with the Status switch set to Off.

Obtenir l’ID client à partir de l’ID objet (ID principal)

Utilisez la commande suivante pour obtenir l’ID client à partir de la valeur d’ID d’objet/principal :

az ad sp show --id <object-ID> --query appId

Étapes suivantes