Używanie tożsamości zarządzanych dla aplikacji w usłudze Azure Spring Apps
Uwaga
Azure Spring Apps to nowa nazwa usługi Azure Spring Cloud. Mimo że usługa ma nową nazwę, stara nazwa będzie widoczna w niektórych miejscach przez pewien czas, ponieważ pracujemy nad aktualizowaniem zasobów, takich jak zrzuty ekranu, filmy wideo i diagramy.
Ten artykuł dotyczy: ✔️ Podstawowa/Standardowa ✔️ Enterprise
W tym artykule pokazano, jak używać tożsamości zarządzanych przypisanych przez system i przypisanych przez użytkownika dla aplikacji w usłudze Azure Spring Apps.
Tożsamości zarządzane dla zasobów platformy Azure zapewniają automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID do zasobu platformy Azure, takiego jak aplikacja w usłudze Azure Spring Apps. Za pomocą tej tożsamości można uwierzytelnić się w dowolnej usłudze obsługującej uwierzytelnianie usługi Microsoft Entra bez konieczności przechowywania poświadczeń w kodzie.
Stan funkcji
| Przypisane przez system | Przypisane przez użytkownika |
|---|---|
| Ogólna dostępność | Ogólna dostępność |
Zarządzanie tożsamością zarządzaną dla aplikacji
W przypadku tożsamości zarządzanych przypisanych przez system zobacz Jak włączyć i wyłączyć tożsamość zarządzaną przypisaną przez system.
W przypadku tożsamości zarządzanych przypisanych przez użytkownika zobacz Jak przypisywać i usuwać tożsamości zarządzane przypisane przez użytkownika.
Uzyskiwanie tokenów dla zasobów platformy Azure
Aplikacja może użyć swojej tożsamości zarządzanej, aby uzyskać tokeny w celu uzyskania dostępu do innych zasobów chronionych przez identyfikator Entra firmy Microsoft, takich jak usługa Azure Key Vault. Te tokeny reprezentują aplikację, która uzyskuje dostęp do zasobu, a nie żadnego konkretnego użytkownika aplikacji.
Zasób docelowy można skonfigurować tak, aby zezwalał na dostęp z aplikacji. Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu tożsamości zarządzanej do zasobu przy użyciu witryny Azure Portal. Jeśli na przykład zażądasz tokenu dostępu do usługi Key Vault, upewnij się, że dodano zasady dostępu zawierające tożsamość aplikacji. W przeciwnym razie wywołania usługi Key Vault zostaną odrzucone, nawet jeśli zawierają token. Aby dowiedzieć się więcej o zasobach obsługujących tokeny firmy Microsoft Entra, zobacz Usługi platformy Azure, które obsługują uwierzytelnianie Firmy Microsoft Entra.
Usługa Azure Spring Apps udostępnia ten sam punkt końcowy na potrzeby pozyskiwania tokenów za pomocą usługi Azure Virtual Machines. W celu uzyskania tokenu zalecamy użycie zestawu SDK języka Java lub szablonów startowych Spring Boot. Aby zapoznać się z różnymi przykładami kodu i skryptów, a także wskazówkami dotyczącymi ważnych tematów, takich jak obsługa wygasania tokenów i błędów HTTP, zobacz How to use managed identities for Azure resources on an Azure VM to acquire an access token (Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu).
Przykłady łączenia usług platformy Azure w kodzie aplikacji
Poniższa tabela zawiera linki do artykułów zawierających przykłady:
Najlepsze rozwiązania dotyczące korzystania z tożsamości zarządzanych
Zdecydowanie zalecamy używanie tożsamości zarządzanych przypisanych przez system i przypisanych przez użytkownika oddzielnie, chyba że masz prawidłowy przypadek użycia. Jeśli używasz obu rodzajów tożsamości zarządzanej razem, błąd może wystąpić, jeśli aplikacja korzysta z tożsamości zarządzanej przypisanej przez system, a aplikacja pobiera token bez określania identyfikatora klienta tej tożsamości. Ten scenariusz może działać prawidłowo, dopóki co najmniej jedna tożsamość zarządzana przypisana przez użytkownika nie zostanie przypisana do tej aplikacji, a następnie aplikacja może nie uzyskać poprawnego tokenu.
Ograniczenia
Maksymalna liczba tożsamości zarządzanych przypisanych przez użytkownika na aplikację
Aby uzyskać maksymalną liczbę tożsamości zarządzanych przypisanych przez użytkownika na aplikację, zobacz Przydziały i plany usług dla usługi Azure Spring Apps.
Mapowanie koncepcji
W poniższej tabeli przedstawiono mapowania między pojęciami w zakresie tożsamości zarządzanej i zakresem firmy Microsoft Entra:
| Zakres tożsamości zarządzanej | Zakres firmy Microsoft |
|---|---|
| Identyfikator podmiotu zabezpieczeń | Identyfikator obiektu |
| Client ID | Application ID |