Uwierzytelnianie aplikacji Java hostowanych na Azure do zasobów Azure za pomocą tożsamości zarządzanej przypisanej przez system

Zalecaną metodą uwierzytelniania aplikacji hostowanej Azure w innych zasobach Azure jest użycie zarządzanej tożsamości. Większość usług Azure obsługuje to podejście, w tym aplikacje hostowane na Azure App Service, Azure Container Apps i Azure Virtual Machines. Aby uzyskać więcej informacji, zobacz usługi i typy zasobów Azure obsługujące tożsamości zarządzane. Aby uzyskać więcej informacji na temat różnych technik uwierzytelniania i podejść, zobacz Authenticate Java apps to Azure services by using the Azure Identity library (Biblioteka tożsamości Azure

W poniższych sekcjach nauczysz się:

• Podstawowe pojęcia dotyczące tożsamości zarządzanej.
• Jak utworzyć tożsamość zarządzaną przypisaną przez system dla aplikacji.
• Jak przypisać role do tożsamości zarządzanej przypisanej przez system.
• Jak uwierzytelniać się przy użyciu tożsamości zarządzanej przypisanej przez system z kodu aplikacji.

Podstawowe pojęcia dotyczące tożsamości zarządzanej

Tożsamość zarządzana umożliwia aplikacji bezpieczne nawiązywanie połączeń z innymi zasobami Azure bez używania kluczy tajnych lub innych sekretów aplikacji. Wewnętrznie Azure śledzi tożsamość i zasoby, z którymi może się łączyć. Azure używa tych informacji do automatycznego uzyskiwania tokenów Microsoft Entra dla aplikacji w celu umożliwienia mu nawiązywania połączenia z innymi zasobami Azure.

Istnieją dwa typy tożsamości zarządzanych, które należy wziąć pod uwagę podczas konfigurowania hostowanej aplikacji:

• Przypisane przez system tożsamości zarządzane zostają włączone bezpośrednio w zasobie Azure i są powiązane z jego cyklem życia. Po usunięciu zasobu Azure automatycznie usuwa tożsamość za Ciebie. Tożsamości przypisane przez system zapewniają minimalistyczne podejście do korzystania z tożsamości zarządzanych.
• Przypisane przez użytkownika tożsamości zarządzane są tworzone jako autonomiczne zasoby Azure i oferują większą elastyczność i możliwości. Są one idealne dla rozwiązań, które obejmują wiele zasobów Azure i muszą współdzielić tę samą tożsamość oraz uprawnienia. Jeśli na przykład wiele maszyn wirtualnych musi uzyskać dostęp do tego samego zestawu zasobów Azure, tożsamość zarządzana przypisana przez użytkownika zapewnia możliwość ponownego użytku i zoptymalizowane zarządzanie.

Wskazówka

Dowiedz się więcej na temat wybierania i zarządzania tożsamościami zarządzanymi przypisanymi przez system i użytkownika w artykule Zalecenia najlepszych praktyk dotyczących tożsamości zarządzanej.

W poniższych sekcjach opisano kroki włączania i używania przypisanej przez system tożsamości zarządzanej dla aplikacji hostowanej Azure. Jeśli musisz użyć tożsamości zarządzanej przypisanej przez użytkownika, zapoznaj się z Uwierzytelnianie aplikacji Java hostowanych na platformie Azure do zasobów Azure przy użyciu tożsamości zarządzanej przypisanej przez użytkownika.

Włącz tożsamość zarządzaną przypisaną przez system w zasobie hostingu Azure

Aby rozpocząć korzystanie z tożsamości zarządzanej przypisanej przez system w aplikacji, włącz tożsamość w zasobie Azure, który hostuje aplikację, takim jak Azure App Service, Azure Container Apps czy wystąpienie Azure Virtual Machines.

Tożsamość zarządzaną przypisaną przez system można włączyć dla zasobu Azure przy użyciu portalu Azure lub Azure CLI.

Portal Azure

1. W portalu Azure przejdź do zasobu hostującego kod Twojej aplikacji, takiego jak wystąpienie Azure App Service lub Azure Container Apps.

2. Na stronie przeglądu zasobu rozwiń Ustawienia i wybierz pozycję Tożsamość z menu nawigacyjnego.

3. Na stronie Identity przełącz suwak Status na Włącz.

4. Wybierz pozycję Zapisz, aby zastosować zmiany.

   

Azure CLI

Polecenia Azure CLI można wykonywać w Azure Cloud Shell lub na stacji roboczej z zainstalowanym Azure CLI.

Polecenia Azure CLI używane do włączania tożsamości zarządzanej dla zasobu Azure mają postać az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Poniżej przedstawiono konkretne polecenia dla popularnych usług Azure.

Azure App Service:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Azure Container Apps:

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <container-app-name> \
    --system-assigned

Azure Virtual Machines:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Dane wyjściowe są podobne do następujących:

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Wartość principalId jest unikatowym identyfikatorem tożsamości zarządzanej. Zachowaj kopię tych danych wyjściowych, ponieważ będą one potrzebne w następnym kroku.

Nadaj role tożsamości zarządzanej

Następnie określ, które role potrzebuje Twoja aplikacja, i przypisz te role do tożsamości zarządzanej. Role można przypisać do tożsamości zarządzanej w następujących zakresach:

• Zasób: Przypisane role mają zastosowanie tylko do tego konkretnego zasobu.
• grupa zasobów: przypisane role mają zastosowanie do wszystkich zasobów zawartych w grupie zasobów.
• Subskrypcja: Role przypisane mają zastosowanie do wszystkich zasobów zawartych w subskrypcji.

W poniższym przykładzie pokazano, jak przypisywać role w zakresie grupy zasobów, ponieważ wiele aplikacji zarządza wszystkimi powiązanymi zasobami Azure przy użyciu jednej grupy zasobów.

Portal Azure

1. Przejdź do strony Przegląd grupy zasobów zawierającej aplikację z przypisaną przez system tożsamością zarządzaną.

2. Wybierz pozycję Kontrola dostępu (IAM) na lewym panelu nawigacyjnym.

3. Na stronie Kontrola dostępu (IAM) wybierz pozycję + Dodaj w górnym menu, a następnie wybierz pozycję Dodaj przydział roli, aby przejść do strony Dodaj przydział roli.

   

4. Strona Dodawanie przypisania roli przedstawia wieloetapowy proces z zakładkami do przypisywania ról tożsamościom. Na początkowej karcie Rola użyj pola wyszukiwania u góry, aby zlokalizować rolę, którą chcesz przypisać tożsamości.

5. Wybierz rolę z wyników, a następnie wybierz pozycję Dalej, aby przejść do karty Członków.

6. Dla opcji Przypisz dostęp do wybierz opcję Tożsamość zarządzana.

7. W przypadku opcji członkowie, wybierz + Wybierz członków, aby otworzyć panel Wybierz tożsamości zarządzane.

8. Na panelu Wybierz zarządzane tożsamości, użyj list rozwijanych Subskrypcja i Zarządzana tożsamość, aby filtrować wyniki wyszukiwania dla Twoich tożsamości. Użyj pola wyszukiwania Select, aby zlokalizować tożsamość systemową, którą włączyłeś dla zasobu Azure, który hostuje Twoją aplikację.

   

9. Wybierz tożsamość i wybierz pozycję Wybierz w dolnej części panelu, aby kontynuować.

10. Wybierz opcję Przejrzyj i przypisz na dole strony.

11. Na ostatniej karcie Przeglądanie i przypisywanie wybierz pozycję Przeglądanie i przypisywanie, aby zakończyć przepływ pracy.

Azure CLI

Tożsamość zarządzana ma przypisaną rolę w Azure przy użyciu polecenia az role assignment create:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Aby uzyskać nazwy ról, do których można przypisać podmiot usługi, użyj polecenia az role definition list:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Aby na przykład zezwolić zarządzanej tożsamości o identyfikatorze aaaaaaaa-bbbb-cccc-1111-222222222222 na odczyt, zapis i usuwanie dostępu do kontenerów obiektów blob i danych w usłudze Azure Storage na wszystkich kontach magazynu w grupie zasobów msdocs-sdk-auth-example, przypisz jednostkę usługi aplikacji do roli Storage Blob Data Contributor za pomocą następującego polecenia:

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

Aby uzyskać informacje na temat przypisywania uprawnień na poziomie zasobu lub subskrypcji przy użyciu Azure CLI, zobacz artykuł Przypisanie ról Azure przy użyciu Azure CLI.

Uwierzytelnianie w usługach Azure z aplikacji

Biblioteka tożsamości Azure udostępnia różne poświadczenia jako implementacje TokenCredential. Każda implementacja obsługuje różne scenariusze i przepływy uwierzytelniania Microsoft Entra. W przypadku aplikacji hostowanych w Azure użyj DefaultAzureCredential, który automatycznie odnajduje poświadczenia tożsamości zarządzanej podczas pracy w Azure.

Implementowanie kodu

Dodaj zależność azure-identity do pliku pom.xml:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Dostęp do usług Azure można uzyskać przy użyciu wyspecjalizowanych klas klientów z bibliotek klienckich Azure SDK. W poniższych przykładach kodu pokazano, jak skonfigurować poświadczenia do uwierzytelniania tożsamości zarządzanej przypisywanej przez system.

Użyj wartości domyślnejAzureCredential

Użyj DefaultAzureCredential dla aplikacji hostowanych w Azure, ponieważ automatycznie odnajduje poświadczenia tożsamości zarządzanej podczas uruchamiania w Azure. W przypadku tożsamości zarządzanych przypisanych przez system nie jest wymagana żadna dodatkowa konfiguracja.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// DefaultAzureCredential automatically discovers managed identity when running in Azure
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Korzystanie z obiektu ManagedIdentityCredential

Jeśli chcesz jawnie użyć poświadczeń tożsamości zarządzanej i uniknąć wyszukiwania łańcucha poświadczeń w DefaultAzureCredential, użyj ManagedIdentityCredential bezpośrednio. W przypadku tożsamości zarządzanych przypisanych przez system nie należy określać identyfikatora klienta:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// For system-assigned managed identity, don't specify a client ID
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Dalsze kroki

W tym artykule opisano uwierzytelnianie przy użyciu tożsamości zarządzanej przypisanej przez system. Ta forma uwierzytelniania jest jednym z wielu sposobów uwierzytelniania w Azure SDK na potrzeby Java. W poniższych artykułach opisano inne sposoby:

• Uwierzytelnianie aplikacji Java hostowanych w Azure w celu uzyskania dostępu do zasobów Azure przy użyciu tożsamości zarządzanej przypisanej użytkownikowi
• Uwierzytelnianie aplikacji Java do usług Azure podczas lokalnego tworzenia za pomocą kont dewelopera
• Uwierzytelnienie aplikacji Java w usługach Azure podczas lokalnego rozwoju za pomocą zasad usługi

Jeśli wystąpią problemy związane z uwierzytelnianiem aplikacji hostowanej Azure, zobacz Rozwiązywanie problemów z uwierzytelnianiem aplikacji hostowanych Azure.

Po uwierzytelnieniu głównym zobacz Konfiguruj logowanie w Azure SDK dla Java aby uzyskać informacje na temat funkcji rejestrowania udostępnianych przez zestaw SDK.