Door de gebruiker toegewezen beheerde identiteiten beheren voor een toepassing in Azure Spring Apps

Notitie

Azure Spring Apps is de nieuwe naam voor de Azure Spring Cloud-service. Hoewel de service een nieuwe naam heeft, ziet u de oude naam op sommige plaatsen terwijl we werken aan het bijwerken van assets, zoals schermopnamen, video's en diagrammen.

Dit artikel is van toepassing op: ✔️ Basic/Standard ✔️ Enterprise

In dit artikel leest u hoe u door de gebruiker toegewezen beheerde identiteiten voor een toepassing in Azure Spring Apps toewijst of verwijdert met behulp van Azure Portal en Azure CLI.

Beheerde identiteiten voor Azure-resources bieden een automatisch beheerde identiteit in Microsoft Entra-id voor een Azure-resource, zoals uw toepassing in Azure Spring Apps. U kunt deze identiteit gebruiken voor verificatie bij alle services die Microsoft Entra-verificatie ondersteunen, zonder dat u aanmeldingsgegevens in uw code hoeft te hebben.

Vereisten

• Als u niet bekend bent met beheerde identiteiten voor Azure-resources, raadpleegt u Wat zijn beheerde identiteiten voor Azure-resources?

• Een exemplaar van een Azure Spring Apps Enterprise-abonnement is al ingericht. Zie quickstart: Apps bouwen en implementeren in Azure Spring Apps met behulp van het Enterprise-abonnement voor meer informatie.
• Azure CLI versie 2.45.0 of hoger.
• De Azure Spring Apps-extensie voor Azure CLI biedt ondersteuning voor door de gebruiker toegewezen beheerde identiteit met versie 1.0.0 of hoger. Gebruik de volgende opdracht om eerdere versies te verwijderen en de nieuwste extensie te installeren:

  az extension remove --name spring
  az extension add --name spring
  

• Ten minste één door de gebruiker toegewezen beheerde identiteit. Zie Manage user-assigned managed identities (Door de gebruiker toegewezen beheerde identiteiten beheren) voor meer informatie.

• Een al ingericht Azure Spring Apps-exemplaar. Zie quickstart: Uw eerste toepassing implementeren in Azure Spring Apps voor meer informatie.
• Azure CLI versie 2.45.0 of hoger.
• De Azure Spring Apps-extensie voor Azure CLI biedt ondersteuning voor door de gebruiker toegewezen beheerde identiteit met versie 1.0.0 of hoger. Gebruik de volgende opdracht om eerdere versies te verwijderen en de nieuwste extensie te installeren:

  az extension remove --name spring
  az extension add --name spring
  

• Ten minste één door de gebruiker toegewezen beheerde identiteit. Zie Manage user-assigned managed identities (Door de gebruiker toegewezen beheerde identiteiten beheren) voor meer informatie.

Door de gebruiker toegewezen beheerde identiteiten toewijzen bij het maken van een toepassing

Maak een toepassing en wijs tegelijkertijd een door de gebruiker toegewezen beheerde identiteit toe met behulp van de volgende opdracht:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Door de gebruiker toegewezen beheerde identiteiten toewijzen aan een bestaande toepassing

Als u een door de gebruiker toegewezen beheerde identiteit toewijst, moet u een andere eigenschap voor de toepassing instellen.

Azure-portal

Als u door de gebruiker toegewezen beheerde identiteit wilt toewijzen aan een bestaande toepassing in Azure Portal, voert u de volgende stappen uit:

1. Navigeer naar een toepassing in Azure Portal zoals u dat normaal zou doen.
2. Schuif omlaag naar de groep Instellingen in het linkernavigatiedeelvenster.
3. Selecteer Identiteit.
4. Selecteer Toevoegen op het tabblad Toegewezen gebruiker.
5. Kies een of meer door de gebruiker toegewezen beheerde identiteiten in het rechterdeelvenster en selecteer Vervolgens Toevoegen in dit deelvenster.

Azure-CLI

Gebruik de volgende opdracht om een of meer door de gebruiker toegewezen beheerde identiteiten toe te wijzen aan een bestaande app:

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Tokens verkrijgen voor Azure-resources

Een toepassing kan de beheerde identiteit gebruiken om tokens op te halen voor toegang tot andere resources die worden beveiligd door Microsoft Entra-id, zoals Azure Key Vault. Deze tokens vertegenwoordigen de toepassing die toegang heeft tot de resource, niet een specifieke gebruiker van de toepassing.

Mogelijk moet u de doelresource configureren om toegang vanuit uw toepassing in te schakelen. Zie Een beheerde identiteit toegang tot een Azure-resource of een andere resource toewijzen voor meer informatie. Als u bijvoorbeeld een token aanvraagt voor toegang tot Key Vault, moet u ervoor zorgen dat u een toegangsbeleid hebt toegevoegd dat de identiteit van uw toepassing bevat. Anders worden uw aanroepen naar Key Vault geweigerd, zelfs als ze het token bevatten. Zie Azure-services die Ondersteuning bieden voor Microsoft Entra-verificatie voor meer informatie over welke resources Ondersteuning bieden voor Microsoft Entra-tokens

Azure Spring Apps deelt hetzelfde eindpunt voor het verkrijgen van tokens met Azure Virtual Machines. Het is raadzaam om Java SDK of Spring Boot-starters te gebruiken om een token te verkrijgen. Zie Hoe u beheerde identiteiten gebruikt voor Azure-resources op een Azure-VM om een toegangstoken te verkrijgen voor verschillende code- en scriptvoorbeelden en richtlijnen voor belangrijke onderwerpen, zoals het afhandelen van verloop van tokens en HTTP-fouten.

Door de gebruiker toegewezen beheerde identiteiten verwijderen uit een bestaande app

Als u door de gebruiker toegewezen beheerde identiteiten verwijdert, wordt de toewijzing tussen de identiteiten en de toepassing verwijderd en worden de identiteiten niet zelf verwijderd.

Azure-portal

Als u door de gebruiker toegewezen beheerde identiteiten wilt verwijderen uit een toepassing die deze niet meer nodig heeft, voert u de volgende stappen uit:

1. Meld u aan bij Azure Portal met een account dat is gekoppeld aan het Azure-abonnement dat het Azure Spring Apps-exemplaar bevat.
2. Navigeer naar de gewenste toepassing en selecteer Identiteit.
3. Selecteer onder Door de gebruiker toegewezen doelidentiteiten en selecteer vervolgens Verwijderen.

Azure-CLI

Gebruik de volgende opdracht om door de gebruiker toegewezen beheerde identiteiten te verwijderen uit een toepassing die deze niet meer nodig heeft:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

Beperkingen

Zie Quota en serviceplannen voor Azure Spring Apps voor door de gebruiker toegewezen beheerde identiteiten.

Volgende stappen

• Wat zijn beheerde identiteiten voor Azure-resources?
• Beheerde identiteiten gebruiken met Java SDK