Delen via


Door het systeem toegewezen beheerde identiteit inschakelen voor een toepassing in Azure Spring Apps

Notitie

Azure Spring Apps is de nieuwe naam voor de Azure Spring Cloud-service. Hoewel de service een nieuwe naam heeft, ziet u de oude naam op sommige plaatsen terwijl we werken aan het bijwerken van assets, zoals schermopnamen, video's en diagrammen.

Dit artikel is van toepassing op: ✔️ Basic/Standard ✔️ Enterprise

In dit artikel leest u hoe u door het systeem toegewezen beheerde identiteiten voor een toepassing in Azure Spring Apps inschakelt en uitschakelt met behulp van Azure Portal en CLI.

Beheerde identiteiten voor Azure-resources bieden een automatisch beheerde identiteit in Microsoft Entra-id voor een Azure-resource, zoals uw toepassing in Azure Spring Apps. U kunt deze identiteit gebruiken voor verificatie bij alle services die Microsoft Entra-verificatie ondersteunen, zonder dat u aanmeldingsgegevens in uw code hoeft te hebben.

Vereisten

Als u niet bekend bent met beheerde identiteiten voor Azure-resources, raadpleegt u Wat zijn beheerde identiteiten voor Azure-resources?

Een door het systeem toegewezen identiteit toevoegen

Voor het maken van een app met een door het systeem toegewezen identiteit moet u een andere eigenschap voor de toepassing instellen.

Als u een beheerde identiteit wilt instellen in de portal, maakt u eerst een app en schakelt u vervolgens de functie in.

  1. Maak een app in de portal zoals u dat normaal zou doen. Navigeer ernaar in de portal.
  2. Schuif omlaag naar de groep Instellingen in het linkernavigatiedeelvenster.
  3. Selecteer Identiteit.
  4. Schakel op het tabblad Door systeem toegewezen status over naar Aan. Selecteer Opslaan.

Schermopname van Azure Portal met het identiteitsscherm voor een toepassing.

Tokens verkrijgen voor Azure-resources

Een app kan de beheerde identiteit gebruiken om tokens op te halen voor toegang tot andere resources die worden beveiligd door Microsoft Entra-id, zoals Azure Key Vault. Deze tokens vertegenwoordigen de toepassing die toegang heeft tot de resource, niet een specifieke gebruiker van de toepassing.

Mogelijk moet u de doelresource configureren om toegang vanuit uw toepassing in te schakelen. Zie Een beheerde identiteit toegang tot een Azure-resource of een andere resource toewijzen voor meer informatie. Als u bijvoorbeeld een token aanvraagt voor toegang tot Key Vault, moet u ervoor zorgen dat u een toegangsbeleid hebt toegevoegd dat de identiteit van uw toepassing bevat. Anders worden uw aanroepen naar Key Vault geweigerd, zelfs als ze het token bevatten. Zie Azure-services die beheerde identiteiten kunnen gebruiken voor toegang tot andere services voor meer informatie over welke resources Microsoft Entra-tokens ondersteunen.

Azure Spring Apps deelt hetzelfde eindpunt voor het verkrijgen van tokens met azure Virtual Machine. Het is raadzaam om Java SDK of Spring Boot Starters te gebruiken om een token te verkrijgen. Zie Beheerde identiteiten gebruiken voor Azure-resources op een Azure-VM om een toegangstoken te verkrijgen voor verschillende code- en scriptvoorbeelden en richtlijnen voor belangrijke onderwerpen, zoals het afhandelen van verloop van tokens en HTTP-fouten.

Door het systeem toegewezen identiteit uitschakelen vanuit een app

Als u een door het systeem toegewezen identiteit verwijdert, wordt deze ook verwijderd uit de Microsoft Entra-id. Als u de app-resource verwijdert, worden door het systeem toegewezen identiteiten automatisch verwijderd uit de Microsoft Entra-id.

Gebruik de volgende stappen om door het systeem toegewezen beheerde identiteit te verwijderen uit een app die deze niet meer nodig heeft:

  1. Meld u aan bij de portal met een account dat is gekoppeld aan het Azure-abonnement dat het Azure Spring Apps-exemplaar bevat.
  2. Navigeer naar de gewenste toepassing en selecteer Identiteit.
  3. Selecteer onder Door het systeem toegewezen/status de optie Uit en selecteer vervolgens Opslaan:

Schermopname van Azure Portal met het scherm Identiteit voor een toepassing, waarbij de statusschakelaar is ingesteld op Uit.

De client-id ophalen uit de object-id (principal-id)

Gebruik de volgende opdracht om de client-id op te halen uit de waarde van de object-/principal-id:

az ad sp show --id <object-ID> --query appId

Volgende stappen