Utiliser des identités managées pour les applications dans Azure Spring Apps
Remarque
Azure Spring Apps est le nouveau nom du service Azure Spring Cloud. Bien que le service ait un nouveau nom, vous verrez l’ancien nom à divers endroits pendant un certain temps, car nous travaillons à mettre à jour les ressources telles que les captures d’écran, les vidéos et les diagrammes.
Cet article s’applique au : Niveau ✔️ De base/Standard ✔️ Entreprise
Cet article vous montre comment utiliser des identités managées affectées par le système et affectées par l’utilisateur pour les applications dans Azure Spring Apps.
Les identités managées pour les ressources Azure fournissent une identité managée automatiquement dans Microsoft Entra ID à une ressource Azure telle que votre application dans Azure Spring Apps. Vous pouvez utiliser cette identité pour vous authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra, sans avoir d’informations d’identification dans votre code.
État de la fonctionnalité
| Attribué par le système | Affecté par l’utilisateur |
|---|---|
| GA | GA |
Gérer l’identité managée pour une application
Pour les identités managées affectées par le système, consultez Comment activer et désactiver l’identité managée affectée par le système.
Pour les identités managées affectées par l’utilisateur, consultez Comment attribuer et supprimer les identités managées affectées par l’utilisateur.
Obtenir des jetons pour les ressources Azure
Une application peut utiliser son identité managée pour obtenir des jetons pour accéder à d’autres ressources protégées par l’ID Microsoft Entra, comme Azure Key Vault. Ces jetons représentent l'application qui accède à la ressource, et non un utilisateur spécifique de l'application.
Vous pouvez configurer la ressource cible pour autoriser l’accès à partir de votre application. Pour plus d’informations, consultez Attribuer à une identité managée un accès à une ressource à l’aide du Portail Azure. Par exemple, si vous demandez un jeton pour accéder à Key Vault, vérifiez que vous avez ajouté une stratégie d’accès qui inclut l’identité de votre application. Si tel n’est pas le cas, vos appels au coffre de clés sont rejetés, même s’ils incluent le jeton. Pour en savoir plus sur les ressources qui prennent en charge les jetons Microsoft Entra, consultez Services Azure prenant en charge l’authentification Microsoft Entra.
Azure Spring Apps partage le même point de terminaison pour l’acquisition de jetons auprès de Machines virtuelles Microsoft Azure. Nous vous recommandons d’utiliser le SDK Java ou des instances Spring Boot Starters pour acquérir un jeton. Pour obtenir différents exemples de code et de script, ainsi que des conseils sur des rubriques importantes telles que la gestion de l’expiration des jetons et des erreurs HTTP, consultez Comment utiliser des identités managées pour les ressources Azure sur une machine virtuelle Azure afin d’acquérir un jeton d’accès.
Exemples de connexion de services Azure dans le code d’application
Le tableau suivant fournit des liens vers des articles contenant des exemples :
Meilleures pratiques d’utilisation des identités managées
Nous vous recommandons vivement d’utiliser des identités managées affectées par le système et affectées par l’utilisateur séparément, sauf si vous avez un cas d’usage valide. Si vous utilisez les deux types d’identité managée ensemble, l’échec peut se produire si une application utilise une identité managée affectée par le système et que l’application obtient le jeton sans spécifier l’ID client de cette identité. Ce scénario peut fonctionner correctement jusqu’à ce qu’une ou plusieurs identités managées affectées par l’utilisateur soient affectées à cette application, alors l’application risque d’échouer à obtenir le jeton correct.
Limites
Nombre maximal d’identités managées affectées par l’utilisateur par application
Pour obtenir le nombre maximal d’identités managées affectées par l’utilisateur par application, consultez Quotas et plans de service pour Azure Spring Apps.
Mappage de concepts
Le tableau suivant présente les mappages entre les concepts dans l’étendue De l’identité managée et l’étendue Microsoft Entra :
| Étendue de Managed Identity | Étendue de Microsoft Entra |
|---|---|
| ID du principal | ID de l'objet |
| ID client | ID de l'application |