Azure által üzemeltetett Java-alkalmazások hitelesítése Azure-erőforrásokhoz felhasználó által hozzárendelt felügyelt identitással

Az Azure által üzemeltetett alkalmazások más Azure erőforrásokra való hitelesítésének ajánlott módszere egy felügyelt identitás használata. A legtöbb Azure szolgáltatás támogatja ezt a megközelítést, beleértve a Azure App Service, Azure Container Apps és Azure Virtual Machines üzemeltetett alkalmazásokat is. További információ: Azure felügyelt identitásokat támogató szolgáltatások és erőforrástípusok. A különböző hitelesítési technikákról és módszerekről a A szolgáltatások Azure Java alkalmazások hitelesítése az Azure Identitástár használatával című témakörben talál további információt.

A következő szakaszokban a következőket ismerheti meg:

• Alapvető felügyelt identitásfogalmak.
• Felhasználó által hozzárendelt felügyelt identitás létrehozása az alkalmazáshoz.
• Szerepkörök hozzárendelése a felhasználó által hozzárendelt felügyelt identitáshoz.
• Hitelesítés a felhasználó által hozzárendelt felügyelt identitással az alkalmazáskódból.

Alapvető felügyelt identitásfogalmak

A felügyelt identitás lehetővé teszi, hogy az alkalmazás biztonságosan csatlakozzon más Azure erőforrásokhoz titkos kulcsok vagy más alkalmazáskulcsok használata nélkül. Belsőleg Azure nyomon követi az identitást, és hogy mely erőforrásokhoz csatlakozhat. Azure ezeket az információkat arra használja, hogy automatikusan Microsoft Entra tokeneket szerezzen meg az alkalmazáshoz, lehetővé téve, hogy más Azure erőforrásokhoz csatlakozzon.

A felügyelt identitások kétféleképpen konfigurálhatók a üzemeltetett alkalmazás konfigurálásakor:

• System által hozzárendelt felügyelt identitások közvetlenül egy Azure erőforráson vannak engedélyezve, és az életciklusához vannak kötve. Az erőforrás törlésekor az Azure automatikusan törli az identitást. A rendszer által hozzárendelt identitások minimalista megközelítést biztosítanak a felügyelt identitások használatához.
• Felhasználó által hozzárendelt felügyelt identitások különálló Azure erőforrásokként jönnek létre, és nagyobb rugalmasságot és képességeket biztosítanak. Olyan megoldásokhoz ideálisak, amelyek több Azure erőforrást tartalmaznak, amelyeknek azonos identitással és engedélyekkel kell rendelkezniük. Ha például több virtuális gépnek kell elérnie ugyanazt a Azure erőforráskészletet, a felhasználó által hozzárendelt felügyelt identitás újrahasználhatóságot és optimalizált felügyeletet biztosít.

Jótanács

További információ a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitások kiválasztásáról és kezeléséről a felügyelt identitásokkal kapcsolatos ajánlott eljárásokra vonatkozó javaslatokkal foglalkozó cikkben.

A következő szakaszok ismertetik a felhasználó által hozzárendelt felügyelt identitás engedélyezésének és használatának lépéseit egy Azure által üzemeltetett alkalmazáshoz. Ha rendszer által hozzárendelt felügyelt identitást kell használnia, tekintse meg a Azure által üzemeltetett Java-alkalmazások hitelesítése Azure erőforrásokhoz rendszer által hozzárendelt felügyelt identitás használatával.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

A felhasználó által hozzárendelt felügyelt identitások különálló erőforrásokként jönnek létre az Azure-előfizetésben a Azure portál vagy a Azure CLI használatával. Azure CLI parancsok futtathatók a Azure Cloud Shell vagy a Azure CLI telepített munkaállomáson.

Azure portál

1. A Azure portálon adja meg a Managed identityes kifejezést a fő keresősávban, és válassza ki az egyező találatot a Szolgáltatások szakaszban.

2. A Felügyelt identitások lapon válassza a +létrehozása lehetőséget.

   

3. A Felhasználó által hozzárendelt felügyelt identitás létrehozása lapon válassza ki a felhasználó által hozzárendelt felügyelt identitáshoz tartozó előfizetést, erőforráscsoportot és régiót, majd adjon meg egy nevet.

4. Válassza Véleményezés + létrehozása lehetőséget a bemenetek áttekintéséhez és érvényesítéséhez.

   

5. Válassza a létrehozása lehetőséget a felhasználó által hozzárendelt felügyelt identitás létrehozásához.

6. Az identitás létrehozása után válassza az Ugrás az erőforrásra.

7. Az új identitás Áttekintés oldalon másolja a ügyfélazonosító értéket, amelyet később felhasználhat az alkalmazáskód konfigurálásakor.

Azure CLI

Felügyelt identitás létrehozásához használja a Azure CLI parancsot az identity create:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

A parancs kimenete kinyomtatja a felhasználó által hozzárendelt felügyelt identitás ügyfél-azonosítóját. Az ügyfélazonosító az identitásra támaszkodó alkalmazáskód konfigurálására szolgál.

A felügyelt identitás tulajdonságai mindig újra megtekinthetők a az identity show paranccsal:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Felügyelt identitás hozzárendelése az alkalmazáshoz

Egy felhasználó által hozzárendelt felügyelt identitás társítható egy vagy több Azure erőforráshoz. Az identitást használó összes erőforrás az identitás szerepkörei által alkalmazott engedélyeket szerzi be.

Azure portál

1. A Azure portálon keresse meg az alkalmazáskódot futtató erőforrást, például egy Azure App Service vagy Azure Container Apps-példányt.

2. Az erőforrás Áttekintés lapján bontsa ki a Beállítások elemet, és válassza ki az Identitás elemet a navigációs sávon.

3. Az Identitás lapon váltson a Felhasználó által hozzárendelt lapra.

4. Válassza a + hozzáadása lehetőséget a Felhasználó által hozzárendelt felügyelt identitás hozzáadása panel megnyitásához.

5. A Felhasználó által hozzárendelt felügyelt identitás hozzáadása panelen a Előfizetés legördülő lista használatával szűrheti az identitások keresési eredményeit. A Felhasználó által hozzárendelt felügyelt identitások keresőmezővel keresse meg az alkalmazást futtató Azure erőforráshoz engedélyezett felhasználó által hozzárendelt felügyelt identitást.

6. Válassza ki az azonosítót, és a panel alján válassza a hozzáadása lehetőséget a folytatáshoz.

   

Azure CLI

A Azure CLI különböző parancsokat biztosít a felhasználó által hozzárendelt felügyelt identitások különböző típusú üzemeltetési szolgáltatásokhoz való hozzárendeléséhez.

1. Ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni egy erőforráshoz, például egy Azure App Service webalkalmazáshoz a Azure CLI használatával, szüksége lesz az identitás erőforrás-azonosítójára. Az erőforrás-azonosító lekéréséhez használja a az identity show parancsot:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Miután megkapta az erőforrás-azonosítót, a Azure CLI parancs az <resourceType> identity assign paranccsal társítsa a felhasználó által hozzárendelt felügyelt identitást különböző erőforrásokkal, például az alábbiakkal:

   A Azure App Service használja a Azure CLI parancsot az webapp identity assign:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   A Azure Container Apps használja a Azure CLI parancsot az containerapp identity assign:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --user-assigned <user-assigned-identity-resource-id>
   

   Használja az Azure CLI parancsot az Azure virtuális gépekhez az vm identity assign.

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Szerepkörök hozzárendelése a felügyelt identitáshoz

Ezután határozza meg, hogy az alkalmazásnak mely szerepkörökre van szüksége, és rendelje hozzá ezeket a szerepköröket a felügyelt identitáshoz. A szerepköröket a következő hatókörökben rendelheti hozzá egy felügyelt identitáshoz:

• erőforrás-: A hozzárendelt szerepkörök csak az adott erőforrásra vonatkoznak.
• erőforráscsoport: A hozzárendelt szerepkörök az erőforráscsoportban található összes erőforrásra vonatkoznak.
• Előfizetési: A hozzárendelt szerepkörök az előfizetésben található összes erőforrásra vonatkoznak.

Az alábbi példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel számos alkalmazás egyetlen erőforráscsoport használatával kezeli az összes kapcsolódó Azure erőforrást.

Azure portál

1. Nyissa meg az Áttekintés lapját annak az erőforráscsoportnak, amely a felhasználó által hozzárendelt felügyelt identitással rendelkező alkalmazást tartalmazza.

2. Válassza Hozzáférés-vezérlés (IAM) a bal oldali navigációs sávon.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + hozzáadása lehetőséget a felső menüben, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget a Szerepkör-hozzárendelés hozzáadása lapra való navigáláshoz.

   

4. A Szerepkör-hozzárendelés hozzáadása oldal egy füles, többlépéses munkafolyamatot jelenít meg a szerepkörök identitásokhoz való hozzárendeléséhez. A kezdeti Szerepkör lapon a felső keresőmezővel keresse meg az identitáshoz hozzárendelni kívánt szerepkört.

5. Válassza ki a szerepkört az eredmények közül, majd a Következő lehetőséget választva lépjen a Tagok lapra.

6. A Hozzáférés hozzárendeléséhez a beállításnál válassza ki a Felügyelt identitáslehetőséget.

7. A Tagok beállításnál válassza a + Tagok kijelölése lehetőséget a Felügyelt identitások kiválasztása panel megnyitásához.

8. A Felügyelt identitások kiválasztása panelen az Előfizetés és Felügyelt identitás legördülő menükből szűrheti az identitások keresési eredményeit. A Select keresőmezőt használva keresse meg a felhasználó által hozzárendelt felügyelt identitást, amelyet engedélyezett az alkalmazást üzemeltető Azure erőforráshoz.

   

9. Válassza ki az azonosságot, és válassza a Kijelölés lehetőséget a panel alján a folytatáshoz.

10. Válassza a Véleményezés és a Hozzárendelés lehetőséget az oldal alján.

11. Az utolsó Véleményezés és hozzárendelés lapon válassza az Véleményezés és hozzárendelés lehetőséget a munkafolyamat befejezéséhez.

Azure CLI

1. Ha szerepkört szeretne hozzárendelni egy felhasználó által hozzárendelt felügyelt identitáshoz a Azure CLI használatával, szüksége lesz az identitás egyszerű azonosítójára. A az identity show paranccsal szerezze be a fő azonosítót:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Az az role definition list paranccsal vizsgálja meg, hogy mely szerepkörök rendelhetők hozzá egy felügyelt identitáshoz:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Szerepkör hozzárendelése felügyelt identitáshoz az az role assignment create paranccsal:

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Ha például engedélyezni szeretné a felügyelt identitásnak 99999999-9999-9999-9999-999999999999 azonosítójával az olvasási, írási és törlési hozzáférést az Azure Storage blobtárolókhoz és adatokhoz az msdocs-sdk-auth-example erőforráscsoport összes tárfiókjában, rendelje hozzá az alkalmazásszolgáltatás névjegyét a Storage Blob Data Contributor szerepkörhöz az alábbi paranccsal:

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

Az engedélyek erőforrás- vagy előfizetési szinten a Azure CLI használatával történő hozzárendeléséről a Az Azure szerepkörök hozzárendelése a Azure CLI című cikkben olvashat.

Hitelesítés Azure szolgáltatásokhoz az alkalmazásból

Az Azure Identitástár különböző hitelesítő adatokat kínál TokenCredential implementációjaként. Minden implementáció különböző forgatókönyveket és Microsoft Entra hitelesítési folyamatokat támogat. A felhasználó által hozzárendelt felügyelt identitások esetében a hitelesítő adatok konfigurálásakor adja meg az identitás ügyfél-azonosítóját, erőforrás-azonosítóját vagy objektumazonosítóját.

A kód implementálása

Adja hozzá a azure-identity függőséget a pom.xml fájlhoz:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

A Azure szolgáltatásokat a Azure SDK ügyfélkódtárakból származó speciális ügyfélosztályok használatával érheti el. Az alábbi példakód bemutatja, hogyan konfigurálhatja a hitelesítő adatokat a felhasználó által hozzárendelt felügyelt identitás hitelesítéséhez.

DefaultAzureCredential használata

Használja a DefaultAzureCredential hitelesítő adatokat Azure által üzemeltetett alkalmazásokhoz. Felhasználó által hozzárendelt felügyelt identitások esetén konfigurálja az ügyfél-azonosítót a managedIdentityClientId következő módszerrel:

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Configure DefaultAzureCredential with the user-assigned managed identity's client ID
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId("<user-assigned-managed-identity-client-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

ManagedIdentityCredential használata

Ha explicit módon szeretné használni a felügyelt identitás hitelesítő adatait, és el szeretné kerülni a hitelesítő adatok láncának keresését DefaultAzureCredential, használja ManagedIdentityCredential közvetlenül. Felhasználó által hozzárendelt felügyelt identitások esetében az identitást az ügyfélazonosító, az erőforrás-azonosító vagy az objektumazonosító használatával adhatja meg.

Ügyfélazonosító

Az ügyfélazonosítóval azonosíthat egy felügyelt identitást, amikor olyan alkalmazásokat vagy szolgáltatásokat konfigurál, amelyeknek hitelesíteni kell az adott identitással.

Kérje le a felhasználó által hozzárendelt felügyelt identitáshoz rendelt ügyfélazonosítót az alábbi paranccsal:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query clientId \
    --output tsv

Konfigurálja a ManagedIdentityCredential-t az ügyfélazonosítóval:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the client ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .clientId("<user-assigned-managed-identity-client-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Erőforrás-azonosító

A felhasználó által hozzárendelt felügyelt identitás erőforrásazonosítója a teljes Azure Resource Manager (ARM) elérési útvonalat jelöli.

A következő paranccsal kérje le a felhasználó által hozzárendelt felügyelt identitáshoz rendelt erőforrás-azonosítót:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query id \
    --output tsv

Konfigurálja a ManagedIdentityCredential az erőforrás-azonosítóval:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the resource ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .resourceId("/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

objektumazonosító

Az objektumazonosító a felügyelt identitás szolgáltatásnévének egyedi azonosítója Microsoft Entra ID.

A következő paranccsal kérje le a felhasználó által hozzárendelt felügyelt identitáshoz rendelt objektumazonosítót:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query principalId \
    --output tsv

Konfigurálja a ManagedIdentityCredential-at az objektumazonosítóval:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the object ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .objectId("<user-assigned-managed-identity-object-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Következő lépések

Ez a cikk a felhasználó által hozzárendelt felügyelt identitást használó hitelesítést ismerteti. Ez a hitelesítési mód az Azure SDK for Java-ban történő hitelesítés egyik lehetséges módja. A következő cikkek a hitelesítés egyéb módjait ismertetik:

• Az Azure által üzemeltetett Java-alkalmazások hitelesítése Azure erőforrásokhoz rendszer által hozzárendelt felügyelt identitás használatával
• A Java alkalmazások hitelesítése a helyi fejlesztés során a szolgáltatások Azure fejlesztői fiókok használatával
• Java alkalmazások Azure szolgáltatásokhoz történő hitelesítése szolgáltatásnevekkel a helyi fejlesztés során

Ha Azure által üzemeltetett alkalmazáshitelesítéssel kapcsolatos problémákat tapasztal, tekintse meg a Troubleshoot Azure által üzemeltetett alkalmazáshitelesítést.

A hitelesítés elsajátítása után tekintse meg a A naplózás konfigurálása az Azure SDK-ban Java-hoz az SDK által biztosított naplózási funkciókról.