Abilitare l'identità gestita assegnata dal sistema per un'applicazione in Azure Spring Apps

  • Articolo

Nota

Azure Spring Apps è il nuovo nome del servizio Azure Spring Cloud. Anche se il servizio ha un nuovo nome, il nome precedente verrà visualizzato in alcune posizioni per un po' mentre si lavora per aggiornare gli asset, ad esempio screenshot, video e diagrammi.

Questo articolo si applica a: ✔️ Basic/Standard ✔️ Enterprise

Questo articolo illustra come abilitare e disabilitare le identità gestite assegnate dal sistema per un'applicazione in Azure Spring Apps usando il portale di Azure e l'interfaccia della riga di comando.

Le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente in Microsoft Entra ID a una risorsa di Azure, ad esempio l'applicazione in Azure Spring Apps. È possibile usare questa identità per l'autenticazione in qualsiasi servizio che supporta l'autenticazione di Microsoft Entra senza dover immettere le credenziali nel codice.

Prerequisiti

Se non si ha familiarità con le identità gestite per le risorse di Azure, vedere Che cosa sono le identità gestite per le risorse di Azure?

Aggiungere un'identità assegnata dal sistema

La creazione di un'app con un'identità assegnata dal sistema richiede l'impostazione di un'altra proprietà nell'applicazione.

Per configurare un'identità gestita nel portale, creare prima un'app e quindi abilitare la funzionalità.

  1. Creare un'app nel portale come di consueto. Accedervi nel portale.
  2. Scorrere verso il basso fino al gruppo Impostazioni nel riquadro di spostamento a sinistra.
  3. Selezionare Identità.
  4. All'interno della scheda Assegnata dal sistema impostare Stato su Attivato. Seleziona Salva.

Screenshot of Azure portal showing the Identity screen for an application.

Ottenere i token per le risorse di Azure

Un'app può usare l'identità gestita per ottenere i token per accedere ad altre risorse protette dall'ID Entra Di Microsoft, ad esempio Azure Key Vault. Questi token rappresentano l'applicazione che accede alla risorsa, non un utente specifico dell'applicazione.

Potrebbe essere necessario configurare la risorsa di destinazione per consentire l'accesso dall'applicazione. Ad esempio, se si richiede un token per accedere a Key Vault, assicurarsi di aver aggiunto un criterio di accesso che includa l'identità dell'applicazione. In caso contrario, le chiamate a Key Vault vengono rifiutate, anche se includono il token. Per altre informazioni sulle risorse che supportano i token Microsoft Entra, vedere Servizi di Azure che possono usare le identità gestite per accedere ad altri servizi.

Azure Spring Apps condivide lo stesso endpoint per l'acquisizione di token con la macchina virtuale di Azure. È consigliabile usare Java SDK o gli starter spring boot per acquisire un token. Per vari esempi di codice e script e indicazioni su argomenti importanti, ad esempio la gestione della scadenza dei token e degli errori HTTP, vedere Come usare le identità gestite per le risorse di Azure in una macchina virtuale di Azure per acquisire un token di accesso.

Disabilitare l'identità assegnata dal sistema da un'app

Rimuovendo un'identità assegnata dal sistema, viene eliminata anche dall'ID Microsoft Entra. L'eliminazione della risorsa dell'app rimuove automaticamente le identità assegnate dal sistema dall'ID Microsoft Entra.

Usare la procedura seguente per rimuovere l'identità gestita assegnata dal sistema da un'app che non è più necessaria:

  1. Accedere al portale usando un account associato alla sottoscrizione di Azure che contiene l'istanza di Azure Spring Apps.
  2. Passare all'applicazione desiderata e selezionare Identità.
  3. In Stato assegnato/dal sistema selezionare No e quindi selezionare Salva:

Screenshot of Azure portal showing the Identity screen for an application, with the Status switch set to Off.

Ottenere l'ID client dall'ID oggetto (ID entità)

Usare il comando seguente per ottenere l'ID client dal valore di ID oggetto/entità:

az ad sp show --id <object-ID> --query appId

Passaggi successivi