Aktifkan identitas terkelola yang ditetapkan sistem untuk aplikasi di Azure Spring Apps

Catatan

Azure Spring Apps adalah nama baru untuk layanan Azure Spring Cloud. Meskipun layanan memiliki nama baru, Anda akan melihat nama lama di beberapa tempat untuk sementara saat kami berupaya memperbarui aset seperti cuplikan layar, video, dan diagram.

Artikel ini berlaku untuk: ✔️ Basic/Standard ✔️ Enterprise

Artikel ini menunjukkan cara mengaktifkan dan menonaktifkan identitas terkelola yang ditetapkan sistem untuk aplikasi di Azure Spring Apps, menggunakan portal Microsoft Azure dan CLI.

Identitas terkelola untuk sumber daya Azure menyediakan identitas yang dikelola secara otomatis di ID Microsoft Entra ke sumber daya Azure seperti aplikasi Anda di Azure Spring Apps. Anda dapat menggunakan identitas ini untuk mengautentikasi tiap layanan yang mendukung autentikasi Microsoft Entra, tanpa memiliki kredensial dalam kode Anda.

Prasyarat

Jika Anda tidak terbiasa dengan identitas terkelola untuk sumber daya Azure, lihat Apa itu identitas terkelola untuk sumber daya Azure?

• Instans paket Azure Spring Apps Enterprise yang sudah disediakan. Untuk informasi selengkapnya, lihat Mulai Cepat: Membuat dan menyebarkan aplikasi ke Azure Spring Apps menggunakan paket Enterprise.
• Azure CLI versi 2.45.0 atau yang lebih tinggi.
• Ekstensi Azure Spring Apps untuk Azure CLI mendukung identitas terkelola yang ditetapkan pengguna aplikasi dengan versi 1.0.0 atau yang lebih baru. Gunakan perintah berikut untuk menghapus versi sebelumnya dan menginstal ekstensi terbaru:

  az extension remove --name spring
  az extension add --name spring
  

• Instans Azure Spring Apps yang sudah tersedia. Untuk informasi selengkapnya, lihat Mulai Cepat: Sebarkan aplikasi pertama Anda ke Azure Spring Apps.
• Azure CLI versi 2.45.0 atau yang lebih tinggi.
• Ekstensi Azure Spring Apps untuk Azure CLI mendukung identitas terkelola yang ditetapkan pengguna aplikasi dengan versi 1.0.0 atau yang lebih baru. Gunakan perintah berikut untuk menghapus versi sebelumnya dan menginstal ekstensi terbaru:

  az extension remove --name spring
  az extension add --name spring
  

Tambahkan identitas yang ditetapkan sistem

Membuat aplikasi dengan identitas yang ditetapkan sistem memerlukan pengaturan properti lain pada aplikasi.

Portal

Untuk menyiapkan identitas terkelola di portal, buat aplikasi terlebih dahulu, lalu aktifkan fitur tersebut.

1. Buat aplikasi di portal seperti biasa. Buka aplikasi di portal.
2. Gulir ke bawah ke grup Pengaturan di panel navigasi sebelah kiri.
3. Pilih Identitas.
4. Dalam tab Ditetapkan oleh sistem, alihkan Status ke Aktif. Pilih Simpan.

Azure CLI

Anda dapat mengaktifkan identitas terkelola yang ditetapkan sistem selama pembuatan aplikasi atau di aplikasi yang sudah ada.

Mengaktifkan identitas terkelola yang ditetapkan sistem selama pembuatan aplikasi

Contoh berikut membuat aplikasi bernama app_name dengan identitas terkelola yang ditetapkan sistem, sesuai permintaan parameter --assign-identity.

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Aktifkan identitas terkelola yang ditetapkan sistem pada aplikasi yang ada**

Gunakan perintah az spring app identity assign untuk mengaktifkan identitas yang ditetapkan sistem pada aplikasi yang sudah ada.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Mendapatkan token untuk sumber daya Azure

Aplikasi dapat menggunakan identitas terkelolanya untuk mendapatkan token untuk mengakses sumber daya lain yang dilindungi oleh ID Microsoft Entra, seperti Azure Key Vault. Token ini mewakili aplikasi yang mengakses sumber daya, bukan pengguna tertentu aplikasi.

Anda mungkin perlu mengonfigurasi sumber daya target untuk mengizinkan akses dari aplikasi Anda. Contohnya, jika Anda meminta token untuk mengakses Key Vault, pastikan Anda telah menambahkan kebijakan akses yang menyertakan identitas aplikasi Anda. Jika tidak, panggilan Anda ke Key Vault ditolak, bahkan jika menyertakan token. Untuk mempelajari selengkapnya tentang sumber daya mana yang mendukung token Microsoft Entra, lihat Layanan Azure yang dapat menggunakan identitas terkelola untuk mengakses layanan lain.

Azure Spring Apps berbagi titik akhir yang sama untuk akuisisi token dengan Azure Virtual Machine. Sebaiknya gunakan Java SDK atau spring boot starter untuk mendapatkan token. Untuk berbagai contoh kode dan skrip serta panduan mengenai topik yang penting seperti menangani token yang kedaluwarsa dan kesalahan HTTP, lihat Cara menggunakan identitas terkelola untuk sumber daya Azure di mesin virtual Azure untuk mendapatkan token akses.

Menonaktifkan identitas yang ditetapkan sistem dari aplikasi

Menghapus identitas yang ditetapkan sistem juga menghapusnya dari ID Microsoft Entra. Menghapus sumber daya aplikasi secara otomatis menghapus identitas yang ditetapkan sistem dari ID Microsoft Entra.

Portal

Gunakan langkah-langkah berikut untuk menghapus identitas terkelola yang ditetapkan sistem dari aplikasi yang tidak lagi membutuhkannya:

1. Masuk ke portal menggunakan akun yang terkait dengan langganan Azure yang berisi instans Azure Spring Apps.
2. Buka aplikasi yang diinginkan dan pilih Identitas.
3. Pada Status/yang ditetapkan sistem, pilih Mati dan kemudian pilih Simpan:

Azure CLI

Untuk menghapus identitas terkelola yang ditetapkan sistem dari aplikasi yang tidak lagi memerlukannya, gunakan perintah berikut:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Dapatkan ID klien dari ID objek (ID prinsipal)

Gunakan perintah berikut untuk mendapatkan ID klien dari nilai ID objek/utama:

az ad sp show --id <object-ID> --query appId

---

Langkah berikutnya

• Apa identitas terkelola untuk sumber daya Azure?
• Cara menggunakan identitas terkelola dengan Java SDK