Azure által üzemeltetett Java-alkalmazások hitelesítése az erőforrások Azure rendszer által hozzárendelt felügyelt identitás használatával

Az Azure által üzemeltetett alkalmazások más Azure erőforrásokra való hitelesítésének ajánlott módszere egy felügyelt identitás használata. A legtöbb Azure szolgáltatás támogatja ezt a megközelítést, beleértve a Azure App Service, Azure Container Apps és Azure Virtual Machines üzemeltetett alkalmazásokat is. További információ: Azure felügyelt identitásokat támogató szolgáltatások és erőforrástípusok. A különböző hitelesítési technikákról és módszerekről a A szolgáltatások Azure Java alkalmazások hitelesítése az Azure Identitástár használatával című témakörben talál további információt.

A következő szakaszokban a következőket ismerheti meg:

• Alapvető felügyelt identitásfogalmak.
• Rendszer által hozzárendelt felügyelt identitás létrehozása az alkalmazáshoz.
• Szerepkörök hozzárendelése a rendszer által hozzárendelt felügyelt identitáshoz.
• Hitelesítés a rendszer által hozzárendelt felügyelt identitással az alkalmazáskódból.

Alapvető felügyelt identitásfogalmak

A felügyelt identitás lehetővé teszi, hogy az alkalmazás biztonságosan csatlakozzon más Azure erőforrásokhoz titkos kulcsok vagy más alkalmazáskulcsok használata nélkül. Belsőleg Azure nyomon követi az identitást, és hogy mely erőforrásokhoz csatlakozhat. Azure ezeket az információkat arra használja, hogy automatikusan Microsoft Entra tokeneket szerezzen meg az alkalmazáshoz, lehetővé téve, hogy más Azure erőforrásokhoz csatlakozzon.

A felügyelt identitások kétféleképpen konfigurálhatók a üzemeltetett alkalmazás konfigurálásakor:

• System által hozzárendelt felügyelt identitások közvetlenül egy Azure erőforráson vannak engedélyezve, és az életciklusához vannak kötve. Az erőforrás törlésekor az Azure automatikusan törli az identitást. A rendszer által hozzárendelt identitások minimalista megközelítést biztosítanak a felügyelt identitások használatához.
• Felhasználó által hozzárendelt felügyelt identitások különálló Azure erőforrásokként jönnek létre, és nagyobb rugalmasságot és képességeket biztosítanak. Olyan megoldásokhoz ideálisak, amelyek több Azure erőforrást tartalmaznak, amelyeknek azonos identitással és engedélyekkel kell rendelkezniük. Ha például több virtuális gépnek kell elérnie ugyanazt a Azure erőforráskészletet, a felhasználó által hozzárendelt felügyelt identitás újrahasználhatóságot és optimalizált felügyeletet biztosít.

Jótanács

További információ a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitások kiválasztásáról és kezeléséről a felügyelt identitásokkal kapcsolatos ajánlott eljárásokra vonatkozó javaslatokkal foglalkozó cikkben.

Az alábbi szakaszok a rendszer által hozzárendelt felügyelt identitás Azure által üzemeltetett alkalmazásokhoz való engedélyezésének és használatának lépéseit ismertetik. Ha felhasználó által hozzárendelt felügyelt identitást kell használnia, tekintse meg a A felhasználó által hozzárendelt felügyelt identitással Azure erőforrások Azure által üzemeltetett Java-alkalmazások hitelesítése című témakört.

Rendszer által hozzárendelt felügyelt identitás engedélyezése a Azure üzemeltetési erőforráson

A rendszer által hozzárendelt felügyelt identitás alkalmazással való használatának megkezdéséhez engedélyezze az identitást az alkalmazást futtató Azure erőforráson, például egy Azure App Service, Azure Container Apps vagy Azure Virtual Machines-példányon.

Egy Azure erőforráshoz rendszer által hozzárendelt felügyelt identitást engedélyezhet a Azure portálon vagy a Azure CLI.

Azure portál

1. A Azure portálon keresse meg az alkalmazáskódot tároló erőforrást, például egy Azure App Service vagy Azure Container Apps-példányt.

2. Az erőforrás Áttekintés lapján bontsa ki a Beállítások elemet, és válassza ki az Identitás elemet a navigációs sávon.

3. Az Identitás lapon állítsa a Állapot csúszkát Be állásba.

4. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

   

Azure CLI

Azure CLI parancsok futtathatók a Azure Cloud Shell vagy a Azure CLI telepített munkaállomáson.

Az Azure erőforrás felügyelt identitásának engedélyezéséhez használt Azure CLI parancsok az <command-group> identity --resource-group <resource-group-name> --name <resource-name> formátumúak. A népszerű Azure-szolgáltatásokra vonatkozó parancsok alább láthatók.

Azure App Service:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Azure Container Apps:

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <container-app-name> \
    --system-assigned

Azure Virtual Machines:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

A kimenet a következőhöz hasonló:

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Az principalId érték a felügyelt identitás egyedi azonosítója. Őrizze meg a kimenet másolatát, mivel a következő lépésben szüksége lesz ezekre az értékekre.

Szerepkörök hozzárendelése a felügyelt identitáshoz

Ezután határozza meg, hogy az alkalmazásnak mely szerepkörökre van szüksége, és rendelje hozzá ezeket a szerepköröket a felügyelt identitáshoz. A szerepköröket a következő hatókörökben rendelheti hozzá egy felügyelt identitáshoz:

• erőforrás-: A hozzárendelt szerepkörök csak az adott erőforrásra vonatkoznak.
• erőforráscsoport: A hozzárendelt szerepkörök az erőforráscsoportban található összes erőforrásra vonatkoznak.
• Előfizetési: A hozzárendelt szerepkörök az előfizetésben található összes erőforrásra vonatkoznak.

Az alábbi példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel számos alkalmazás egyetlen erőforráscsoport használatával kezeli az összes kapcsolódó Azure erőforrást.

Azure portál

1. Lépjen a Áttekintés lapjára annak az erőforráscsoportnak, amely a rendszer által hozzárendelt felügyelt identitással rendelkező alkalmazást tartalmazza.

2. Válassza Hozzáférés-vezérlés (IAM) a bal oldali navigációs sávon.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + hozzáadása lehetőséget a felső menüben, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget a Szerepkör-hozzárendelés hozzáadása lapra való navigáláshoz.

   

4. A Szerepkör-hozzárendelés hozzáadása oldal egy füles, többlépéses munkafolyamatot jelenít meg a szerepkörök identitásokhoz való hozzárendeléséhez. A kezdeti Szerepkör lapon a felső keresőmezővel keresse meg az identitáshoz hozzárendelni kívánt szerepkört.

5. Válassza ki a szerepkört az eredmények közül, majd a Következő lehetőséget választva lépjen a Tagok lapra.

6. A Hozzáférés hozzárendeléséhez a beállításnál válassza ki a Felügyelt identitáslehetőséget.

7. A Tagok beállításnál válassza a + Tagok kijelölése lehetőséget a Felügyelt identitások kiválasztása panel megnyitásához.

8. A Felügyelt identitások kiválasztása panelen az Előfizetés és Felügyelt identitás legördülő menükből szűrheti az identitások keresési eredményeit. A Select keresőmezővel keresse meg az alkalmazást üzemeltető Azure erőforráshoz engedélyezett rendszeridentitást.

   

9. Válassza ki az azonosságot, és válassza a Kijelölés lehetőséget a panel alján a folytatáshoz.

10. Válassza a Véleményezés és a Hozzárendelés lehetőséget az oldal alján.

11. Az utolsó Véleményezés és hozzárendelés lapon válassza az Véleményezés és hozzárendelés lehetőséget a munkafolyamat befejezéséhez.

Azure CLI

A felügyelt identitás szerepkört kap az Azure-ban a az szerepkör-hozzárendelés létrehozása parancs használatával:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Azoknak a szerepkörneveknek a lekéréséhez, amelyekhez egy szolgáltatási jogkört hozzá lehet rendelni, használja az az role definition list parancsot.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Ha például engedélyezni szeretné a felügyelt identitásnak aaaaaaaa-bbbb-cccc-1111-222222222222 azonosítójával az olvasási, írási és törlési hozzáférést az Azure Storage blobtárolókhoz és adatokhoz az msdocs-sdk-auth-example erőforráscsoport összes tárfiókjában, rendelje hozzá az alkalmazásszolgáltatás névjegyét a Storage Blob Data Contributor szerepkörhöz az alábbi paranccsal:

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

Az engedélyek erőforrás- vagy előfizetési szinten a Azure CLI használatával történő hozzárendeléséről a Az Azure szerepkörök hozzárendelése a Azure CLI című cikkben olvashat.

Hitelesítés Azure szolgáltatásokhoz az alkalmazásból

Az Azure Identitástár különböző hitelesítő adatokat biztosít a TokenCredential implementációjaként. Minden implementáció különböző forgatókönyveket és Microsoft Entra hitelesítési folyamatokat támogat. Azure által üzemeltetett alkalmazásokhoz használja a DefaultAzureCredential, amely automatikusan felderíti a felügyelt identitás hitelesítő adatait, amikor Azure fut.

A kód implementálása

Adja hozzá a azure-identity függőséget a pom.xml fájlhoz:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

A Azure szolgáltatásokat a Azure SDK ügyfélkódtárakból származó speciális ügyfélosztályok használatával érheti el. Az alábbi példakód bemutatja, hogyan konfigurálhatja a hitelesítő adatokat a rendszer által hozzárendelt felügyelt identitás hitelesítéséhez.

DefaultAzureCredential használata

DefaultAzureCredential használata Azure által üzemeltetett alkalmazásokhoz, mert automatikusan felderíti a felügyelt identitás hitelesítő adatait, amikor Azure fut. A rendszer által hozzárendelt felügyelt identitásokhoz nincs szükség további konfigurációra.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// DefaultAzureCredential automatically discovers managed identity when running in Azure
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

ManagedIdentityCredential használata

Ha explicit módon szeretné használni a felügyelt identitás hitelesítő adatait, és el szeretné kerülni a hitelesítő adatok láncának keresését DefaultAzureCredential, használja ManagedIdentityCredential közvetlenül. A rendszer által hozzárendelt felügyelt identitások esetében ne adjon meg ügyfél-azonosítót:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// For system-assigned managed identity, don't specify a client ID
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Következő lépések

Ez a cikk a rendszer által hozzárendelt felügyelt identitást használó hitelesítést ismerteti. Ez a hitelesítési mód az Azure SDK for Java-ban történő hitelesítés egyik lehetséges módja. A következő cikkek a következő módszereket ismertetik:

• Az Azure-erőforrásokhoz való hitelesítést Azure által üzemeltetett Java-alkalmazások számára felhasználó által hozzárendelt felügyelt identitással
• A Java alkalmazások hitelesítése a helyi fejlesztés során a szolgáltatások Azure fejlesztői fiókok használatával
• Java alkalmazások Azure szolgáltatásokhoz történő hitelesítése szolgáltatásnevekkel a helyi fejlesztés során

Ha Azure által üzemeltetett alkalmazáshitelesítéssel kapcsolatos problémákat tapasztal, tekintse meg a Troubleshoot Azure által üzemeltetett alkalmazáshitelesítést.

A hitelesítés elsajátítása után tekintse meg a A naplózás konfigurálása az Azure SDK-ban Java-hoz az SDK által biztosított naplózási funkciókról.