Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika dla aplikacji w usłudze Azure Spring Apps

Uwaga

Azure Spring Apps to nowa nazwa usługi Azure Spring Cloud. Mimo że usługa ma nową nazwę, stara nazwa będzie widoczna w niektórych miejscach przez pewien czas, ponieważ pracujemy nad aktualizowaniem zasobów, takich jak zrzuty ekranu, filmy wideo i diagramy.

Ten artykuł dotyczy: ✔️ Podstawowa/Standardowa ✔️ Enterprise

W tym artykule przedstawiono sposób przypisywania lub usuwania tożsamości zarządzanych przypisanych przez użytkownika dla aplikacji w usłudze Azure Spring Apps przy użyciu witryny Azure Portal i interfejsu wiersza polecenia platformy Azure.

Tożsamości zarządzane dla zasobów platformy Azure zapewniają automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID do zasobu platformy Azure, takiego jak aplikacja w usłudze Azure Spring Apps. Za pomocą tej tożsamości można uwierzytelnić się w dowolnej usłudze obsługującej uwierzytelnianie usługi Microsoft Entra bez konieczności przechowywania poświadczeń w kodzie.

Wymagania wstępne

• Jeśli nie znasz tożsamości zarządzanych dla zasobów platformy Azure, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?

• Już aprowizowane wystąpienie planu Usługi Azure Spring Apps Enterprise. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie i wdrażanie aplikacji w usłudze Azure Spring Apps przy użyciu planu Enterprise.
• Interfejs wiersza polecenia platformy Azure w wersji 2.45.0 lub nowszej.
• Rozszerzenie Azure Spring Apps dla interfejsu wiersza polecenia platformy Azure obsługuje tożsamość zarządzaną przypisaną przez użytkownika aplikacji w wersji 1.0.0 lub nowszej. Użyj następującego polecenia, aby usunąć poprzednie wersje i zainstalować najnowsze rozszerzenie:

  az extension remove --name spring
  az extension add --name spring
  

• Co najmniej jedna aprowizowana tożsamość zarządzana przypisana przez użytkownika. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

• Już aprowizowane wystąpienie usługi Azure Spring Apps. Aby uzyskać więcej informacji, zobacz Szybki start: wdrażanie pierwszej aplikacji w usłudze Azure Spring Apps.
• Interfejs wiersza polecenia platformy Azure w wersji 2.45.0 lub nowszej.
• Rozszerzenie Azure Spring Apps dla interfejsu wiersza polecenia platformy Azure obsługuje tożsamość zarządzaną przypisaną przez użytkownika aplikacji w wersji 1.0.0 lub nowszej. Użyj następującego polecenia, aby usunąć poprzednie wersje i zainstalować najnowsze rozszerzenie:

  az extension remove --name spring
  az extension add --name spring
  

• Co najmniej jedna aprowizowana tożsamość zarządzana przypisana przez użytkownika. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Przypisywanie tożsamości zarządzanych przypisanych przez użytkownika podczas tworzenia aplikacji

Utwórz aplikację i przypisz tożsamość zarządzaną przypisaną przez użytkownika w tym samym czasie przy użyciu następującego polecenia:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Przypisywanie tożsamości zarządzanych przypisanych przez użytkownika do istniejącej aplikacji

Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika wymaga ustawienia innej właściwości w aplikacji.

Witryna Azure Portal

Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do istniejącej aplikacji w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do aplikacji w witrynie Azure Portal, tak jak zwykle.
2. Przewiń w dół do grupy Ustawienia w okienku nawigacji po lewej stronie.
3. Wybierz Tożsamość.
4. Na karcie Przypisane przez użytkownika wybierz pozycję Dodaj.
5. Wybierz co najmniej jedną tożsamość zarządzaną przypisaną przez użytkownika z panelu po prawej stronie, a następnie wybierz pozycję Dodaj z tego panelu.

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia, aby przypisać co najmniej jedną tożsamość zarządzaną przypisaną przez użytkownika do istniejącej aplikacji:

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Uzyskiwanie tokenów dla zasobów platformy Azure

Aplikacja może użyć swojej tożsamości zarządzanej, aby uzyskać tokeny w celu uzyskania dostępu do innych zasobów chronionych przez identyfikator Entra firmy Microsoft, takich jak usługa Azure Key Vault. Te tokeny reprezentują aplikację, która uzyskuje dostęp do zasobu, a nie żadnego konkretnego użytkownika aplikacji.

Może być konieczne skonfigurowanie zasobu docelowego w celu włączenia dostępu z aplikacji. Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu tożsamości zarządzanej do zasobu platformy Azure lub innego zasobu. Jeśli na przykład zażądasz tokenu dostępu do usługi Key Vault, upewnij się, że dodano zasady dostępu, które obejmują tożsamość aplikacji. W przeciwnym razie wywołania usługi Key Vault są odrzucane, nawet jeśli zawierają token. Aby dowiedzieć się więcej o zasobach obsługujących tokeny firmy Microsoft Entra, zobacz Usługi platformy Azure, które obsługują uwierzytelnianie firmy Microsoft Entra

Usługa Azure Spring Apps udostępnia ten sam punkt końcowy na potrzeby pozyskiwania tokenów za pomocą usługi Azure Virtual Machines. W celu uzyskania tokenu zalecamy użycie zestawu SDK języka Java lub szablonów startowych Spring Boot. Aby zapoznać się z różnymi przykładami kodu i skryptów oraz wskazówkami dotyczącymi ważnych tematów, takich jak obsługa wygasania tokenów i błędów HTTP, zobacz How to use managed identities for Azure resources on an Azure VM to acquire an access token (Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu).

Usuwanie tożsamości zarządzanych przypisanych przez użytkownika z istniejącej aplikacji

Usunięcie tożsamości zarządzanych przypisanych przez użytkownika powoduje usunięcie przypisania między tożsamościami a aplikacją i nie powoduje usunięcia samych tożsamości.

Witryna Azure Portal

Aby usunąć tożsamości zarządzane przypisane przez użytkownika z aplikacji, która nie jest już jej potrzebna, wykonaj następujące kroki:

1. Zaloguj się do witryny Azure Portal przy użyciu konta skojarzonego z subskrypcją platformy Azure, która zawiera wystąpienie usługi Azure Spring Apps.
2. Przejdź do żądanej aplikacji i wybierz pozycję Tożsamość.
3. W obszarze Przypisane przez użytkownika wybierz pozycję tożsamości docelowe, a następnie wybierz pozycję Usuń.

Interfejs wiersza polecenia platformy Azure

Aby usunąć tożsamości zarządzane przypisane przez użytkownika z aplikacji, która nie jest już jej potrzebna, użyj następującego polecenia:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

Ograniczenia

Aby uzyskać informacje o ograniczeniach tożsamości zarządzanej przypisanej przez użytkownika, zobacz Limity przydziału i plany usług dla usługi Azure Spring Apps.

Następne kroki

• Co to są tożsamości zarządzane dla zasobów platformy Azure?
• Jak używać tożsamości zarządzanych z zestawem Java SDK