Menggunakan identitas terkelola untuk aplikasi di Azure Spring Apps
Catatan
Azure Spring Apps adalah nama baru untuk layanan Azure Spring Cloud. Meskipun layanan memiliki nama baru, Anda akan melihat nama lama di beberapa tempat untuk sementara saat kami berupaya memperbarui aset seperti cuplikan layar, video, dan diagram.
Artikel ini berlaku untuk: ✔️ Basic/Standard ✔️ Enterprise
Artikel ini menunjukkan cara menggunakan identitas terkelola untuk yang ditetapkan sistem dan ditetapkan pengguna untuk aplikasi di Azure Spring Apps.
Identitas terkelola untuk sumber daya Azure menyediakan identitas yang dikelola secara otomatis di ID Microsoft Entra ke sumber daya Azure seperti aplikasi Anda di Azure Spring Apps. Anda dapat menggunakan identitas ini untuk mengautentikasi tiap layanan yang mendukung autentikasi Microsoft Entra, tanpa memiliki kredensial dalam kode Anda.
Status fitur
| Ditetapkan sistem | Ditetapkan pengguna |
|---|---|
| GA | GA |
Mengelola identitas terkelola untuk aplikasi
Untuk identitas terkelola yang ditetapkan sistem, lihat Cara mengaktifkan dan menonaktifkan identitas terkelola yang ditetapkan sistem.
Untuk identitas terkelola yang ditetapkan pengguna, lihat Cara menetapkan dan menghapus identitas terkelola yang ditetapkan pengguna.
Mendapatkan token untuk sumber daya Azure
Aplikasi dapat menggunakan identitas terkelolanya untuk mendapatkan token untuk mengakses sumber daya lain yang dilindungi oleh ID Microsoft Entra, seperti Azure Key Vault. Token ini mewakili aplikasi yang mengakses sumber daya, bukan pengguna tertentu aplikasi.
Anda dapat mengonfigurasi sumber daya target untuk mengizinkan akses dari aplikasi Anda. Untuk informasi lebih lanjut, lihat Menetapkan akses ke identitas terkelola untuk mengakses sumber daya menggunakan portal Azure. Contohnya, jika Anda meminta token untuk mengakses Key Vault, pastikan Anda telah menambahkan kebijakan akses yang menyertakan identitas aplikasi Anda. Jika tidak, panggilan Anda ke Key Vault akan ditolak, bahkan jika panggilan tersebut menyertakan token. Untuk mempelajari selengkapnya tentang sumber daya mana yang mendukung token Microsoft Entra, lihat Layanan Azure yang mendukung autentikasi Microsoft Entra.
Azure Spring Apps berbagi titik akhir yang sama dengan Azure Virtual Machine untuk akuisisi token. Sebaiknya gunakan SDK Java atau starter Spring Boot untuk mendapatkan token. Untuk berbagai contoh kode dan skrip, serta panduan tentang topik penting seperti menangani kedaluwarsa token dan kesalahan HTTP, lihat Cara menggunakan identitas terkelola untuk sumber daya Azure di Azure VM untuk memperoleh token akses.
Contoh menyambungkan layanan Azure dalam kode aplikasi
Tabel berikut ini menyediakan tautan ke artikel yang berisi contoh:
Praktik terbaik saat menggunakan identitas terkelola
Kami sangat menyarankan Anda agar menggunakan identitas terkelola yang ditetapkan sistem dan identitas terkelola yang ditetapkan pengguna secara terpisah kecuali jika skenario yang sedang Anda kerjakan memang membutuhkan penggunaan kedua identitas tersebut secara bersamaan. Jika Anda menggunakan kedua jenis identitas terkelola sekaligus, kegagalan mungkin terjadi jika aplikasi menggunakan identitas terkelola yang ditetapkan sistem dan aplikasi mendapatkan token tanpa menentukan ID klien identitas tersebut. Skenario ini mungkin berfungsi dengan baik sampai satu atau beberapa identitas terkelola yang ditetapkan pengguna ditetapkan ke aplikasi tersebut, maka aplikasi mungkin gagal mendapatkan token yang benar.
Pembatasan
Jumlah maksimum identitas terkelola yang ditetapkan pengguna untuk setiap aplikasi
Untuk jumlah maksimum identitas terkelola yang ditetapkan pengguna per aplikasi, lihat Kuota dan Paket Layanan Azure Spring Apps.
Pemetaan konsep
Tabel berikut ini memperlihatkan pemetaan antara konsep dalam cakupan Identitas Terkelola dan cakupan Microsoft Entra:
| Cakupan Identitas Terkelola | Cakupan Microsoft Entra |
|---|---|
| ID Utama | ID Objek |
| ID klien | ID Aplikasi |