Gerenciar identidades gerenciadas atribuídas pelo usuário para um aplicativo no Azure Spring Apps
Observação
Azure Spring Apps é o novo nome do serviço Azure Spring Cloud. Embora o serviço tenha um novo nome, você verá o nome antigo em alguns locais por um tempo enquanto trabalhamos para atualizar ativos como capturas de tela, vídeos e diagramas.
Este artigo se aplica ao: ✔️ nível Básico/Standard ✔️ nível Enterprise
Este artigo mostra como atribuir ou remover identidades gerenciadas atribuídas pelo usuário de um aplicativo do Azure Spring Apps, usando o portal do Azure e a CLI do Azure.
As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente no Microsoft Entra ID para um recurso do Azure, como o aplicativo nos Aplicativos Spring do Azure. Use essa identidade para autenticar qualquer serviço que dê suporte à autenticação do Microsoft Entra, sem a necessidade de ter as credenciais no código.
Pré-requisitos
- Se você não conhece as identidades gerenciadas para recursos do Azure, confira O que são as identidades gerenciadas para recursos do Azure?
- Uma instância do plano Enterprise dos Aplicativos Spring do Azure já provisionada. Para obter mais informações, confira Início Rápido: criar e implantar aplicativos nos Aplicativos Spring do Azure usando o plano Enterprise.
- CLI do Azure versão 2.45.0 ou superior.
- A extensão dos Aplicativos Spring do Azure para CLI do Azure dá suporte à identidade gerenciada atribuída pelo usuário do aplicativo com a versão 1.0.0 ou posterior. Use o comando a seguir para remover versões anteriores e instalar a extensão mais recente:
az extension remove --name spring az extension add --name spring - Pelo menos uma identidade gerenciada já provisionada atribuída pelo usuário. Para obter mais informações, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.
- Uma instância do Azure Spring Apps já provisionada. Para obter mais informações, confira Início Rápido: implantar o seu primeiro aplicativo ao Azure Spring Apps.
- CLI do Azure versão 2.45.0 ou superior.
- A extensão dos Aplicativos Spring do Azure para CLI do Azure dá suporte à identidade gerenciada atribuída pelo usuário do aplicativo com a versão 1.0.0 ou posterior. Use o comando a seguir para remover versões anteriores e instalar a extensão mais recente:
az extension remove --name spring az extension add --name spring - Pelo menos uma identidade gerenciada já provisionada atribuída pelo usuário. Para obter mais informações, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.
Atribuir identidades gerenciadas atribuídas pelo usuário ao criar um aplicativo
Crie um aplicativo e atribua a identidade gerenciada atribuída pelo usuário ao mesmo tempo usando o seguinte comando:
az spring app create \
--resource-group <resource-group-name> \
--name <app-name> \
--service <service-instance-name> \
--user-assigned <space-separated user identity resource IDs to assign>
Atribuir identidades gerenciadas atribuídas pelo usuário a um aplicativo existente
Atribuir a identidade gerenciada atribuída pelo usuário requer a configuração de outra propriedade no aplicativo.
Para atribuir a identidade gerenciada atribuída pelo usuário a um aplicativo existente no portal do Azure, siga estas etapas:
- Navegue até um aplicativo no portal do Azure como faria normalmente.
- Role a página para baixo até o grupo Configurações no painel de navegação esquerdo.
- Selecionar Identidade.
- Na guia Usuário atribuído, selecione Adicionar.
- Escolha uma ou mais identidades gerenciadas atribuídas pelo usuário no painel direito e, em seguida, selecione Adicionar neste painel.
Obter tokens para recursos do Azure
Um aplicativo pode usar sua identidade gerenciada para obter tokens que acessam outros recursos protegidos pelo Microsoft Entra ID, como o Azure Key Vault. Esses tokens representam o acesso do aplicativo ao recurso, não um usuário específico do aplicativo.
Talvez seja necessário configurar o recurso de destino para permitir o acesso proveniente do seu aplicativo. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciada a um recurso do Azure ou a outro recurso. Por exemplo, se você solicitar um token para acessar o Key Vault, verifique se adicionou uma política de acesso que inclui a identidade do seu aplicativo. Caso contrário, as chamadas ao Key Vault serão rejeitadas, mesmo se elas incluírem o token. Para saber mais sobre quais recursos dão suporte a tokens do Microsoft Entra, confira Serviços do Azure que dão suporte à autenticação do Microsoft Entra
O Azure Spring Apps compartilha o mesmo ponto de extremidade para aquisição de token com a Máquinas Virtuais do Azure. É recomendável usar o Java SDK ou os iniciadores do Spring Boot para adquirir um token. Para ver alguns exemplos de código e script e diretrizes sobre tópicos importantes, como tratamento de expiração de token e erros HTTP, consulte Como usar identidades gerenciadas para recursos do Azure em uma VM do Azure para adquirir um token de acesso.
Remover identidades gerenciadas atribuídas pelo usuário de um aplicativo existente
Remover as identidades gerenciadas atribuídas pelo usuário remove a atribuição entre as identidades e o aplicativo e não exclui as identidades em si.
Para remover as identidades gerenciadas atribuídas pelo usuário de um aplicativo que não precisa mais dela, siga estas etapas:
- Entre no portal do Azure usando uma conta associada à assinatura do Azure que contém a instância do Azure Spring Apps.
- Navegue até o aplicativo desejado e selecione Identidade.
- Em Usuário atribuído, selecione identidades de destino e, em seguida, selecione Remover.
Limitações
Para limitações da identidade gerenciada atribuída pelo usuário, confira Cotas e planos de serviço para o Azure Spring Apps.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de