Beheerde identiteiten gebruiken voor toepassingen in Azure Spring Apps
Notitie
De Basic-, Standard- en Enterprise-abonnementen worden afgeschaft vanaf medio maart 2025, met een pensioenperiode van 3 jaar. We raden u aan om over te stappen naar Azure Container Apps. Zie de aankondiging over buitengebruikstelling van Azure Spring Apps voor meer informatie.
Het standaardverbruik en het speciale abonnement worden vanaf 30 september 2024 afgeschaft, met een volledige afsluiting na zes maanden. We raden u aan om over te stappen naar Azure Container Apps. Zie Azure Spring Apps Standard-verbruik en toegewezen abonnement migreren naar Azure Container Apps voor meer informatie.
Dit artikel is van toepassing op: ✔️ Basic/Standard ✔️ Enterprise
In dit artikel leest u hoe u door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten gebruikt voor toepassingen in Azure Spring Apps.
Beheerde identiteiten voor Azure-resources bieden een automatisch beheerde identiteit in Microsoft Entra-id voor een Azure-resource, zoals uw toepassing in Azure Spring Apps. U kunt deze identiteit gebruiken voor verificatie bij alle services die Microsoft Entra-verificatie ondersteunen, zonder dat u aanmeldingsgegevens in uw code hoeft te hebben.
Functiestatus
Door het systeem toegewezen | Door de gebruiker toegewezen |
---|---|
GA | GA |
Beheerde identiteit voor een toepassing beheren
Zie Hoe u door het systeem toegewezen beheerde identiteiten inschakelt en uitschakelt.
Zie Voor door de gebruiker toegewezen beheerde identiteiten het toewijzen en verwijderen van door de gebruiker toegewezen beheerde identiteiten.
Tokens verkrijgen voor Azure-resources
Een toepassing kan de beheerde identiteit gebruiken om tokens op te halen voor toegang tot andere resources die worden beveiligd door Microsoft Entra-id, zoals Azure Key Vault. Deze tokens vertegenwoordigen de toepassing die toegang heeft tot de resource, niet een specifieke gebruiker van de toepassing.
U kunt de doelresource configureren om toegang vanuit uw toepassing in te schakelen. Zie Een beheerde identiteit toegang tot een Azure-resource of een andere resource toewijzen voor meer informatie. Als u bijvoorbeeld een token aanvraagt voor toegang tot Key Vault, moet u ervoor zorgen dat u een toegangsbeleid hebt toegevoegd dat de identiteit van uw toepassing bevat. Anders worden uw aanroepen naar Key Vault geweigerd, zelfs als ze het token bevatten. Zie Azure-services die ondersteuning bieden voor Microsoft Entra-verificatie voor meer informatie over welke resources Ondersteuning bieden voor Microsoft Entra-tokens.
Azure Spring Apps deelt hetzelfde eindpunt voor het verkrijgen van tokens met Azure Virtual Machines. Het is raadzaam om Java SDK of Spring Boot-starters te gebruiken om een token te verkrijgen. Zie Beheerde identiteiten gebruiken voor Azure-resources op een Azure-VM om een toegangstoken te verkrijgen voor verschillende code- en scriptvoorbeelden, evenals richtlijnen voor belangrijke onderwerpen, zoals het afhandelen van verloop- en HTTP-fouten van tokens.
Voorbeelden van het verbinden van Azure-services in toepassingscode
De volgende tabel bevat koppelingen naar artikelen die voorbeelden bevatten:
Aanbevolen procedures bij het gebruik van beheerde identiteiten
We raden u ten zeerste aan om door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten afzonderlijk te gebruiken, tenzij u een geldige use-case hebt. Als u beide soorten beheerde identiteit samen gebruikt, kan er een fout optreden als een toepassing een door het systeem toegewezen beheerde identiteit gebruikt en de toepassing het token ophaalt zonder de client-id van die identiteit op te geven. Dit scenario werkt mogelijk prima totdat een of meer door de gebruiker toegewezen beheerde identiteiten aan die toepassing zijn toegewezen. De toepassing kan dan het juiste token niet ophalen.
Beperkingen
Maximum aantal door de gebruiker toegewezen beheerde identiteiten per toepassing
Zie Quota en serviceplannen voor Azure Spring Apps voor het maximum aantal door de gebruiker toegewezen beheerde identiteiten per toepassing.
Concepttoewijzing
In de volgende tabel ziet u de toewijzingen tussen concepten in managed identity-bereik en Microsoft Entra-bereik:
Bereik van beheerde identiteit | Microsoft Entra-bereik |
---|---|
Principal-id | Object-id |
Client ID | Toepassings-id |