Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Nota
Os planos Basic, Standarde Enterprise entraram em um período de aposentadoria em 17 de março de 2025. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.
Este artigo aplica-se a: ❎ Basic/Standard ✅ Enterprise
Este artigo mostra como configurar o logon único (SSO) para o Spring Cloud Gateway ou o API Portal usando o Microsoft Entra ID como um provedor de identificação OpenID.
Pré-requisitos
- Uma instância do plano Enterprise com o Spring Cloud Gateway ou o portal da API ativado. Para obter mais informações, consulte Guia de início rápido: criar e implantar aplicativos no Azure Spring Apps usando o plano Enterprise.
- Permissões suficientes para gerenciar aplicativos Microsoft Entra.
Para habilitar o SSO para o Spring Cloud Gateway ou o API Portal, você precisa das quatro propriedades a seguir configuradas:
| Propriedade SSO | Configuração do Microsoft Entra |
|---|---|
| clientId | Consulte Registrar aplicativo |
| clientSecret | Consulte Criar segredo do cliente |
| âmbito | Consulte Configurar escopo |
| emissorUri | Consulte Gerar URI do emissor |
Você configurará as propriedades no Microsoft Entra ID nas etapas a seguir.
Atribuir um endpoint para o Spring Cloud Gateway ou o API Portal
Em primeiro lugar, deves obter o endpoint público atribuído para o Spring Cloud Gateway e o portal API seguindo os passos:
- Abra sua instância de serviço do plano Enterprise no portal do Azure.
- Selecione Spring Cloud Gateway ou API portal em componentes VMware Tanzu no menu à esquerda.
- Selecione Sim ao lado de Atribuir endpoint.
- Copie o URL para uso na próxima seção deste artigo.
Criar um registro de aplicativo Microsoft Entra
Registre seu aplicativo para estabelecer uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft usando as seguintes etapas:
- Na tela inicial, selecione Microsoft Entra ID no menu à esquerda.
- Selecione Registos de Aplicações em Gerir e, em seguida, selecione Novo registo.
- Introduza um nome de apresentação para a sua aplicação em Nome, depois selecione um tipo de conta para registar em Tipos de conta suportados.
- Em Redirecionar URI (opcional), selecione Web e insira o URL da seção acima na caixa de texto. O URI de redirecionamento é o local onde o Microsoft Entra ID redireciona seu cliente e envia tokens de segurança após a autenticação.
- Selecione Registrar para concluir o registro do aplicativo.
Quando o registo terminar, verá o ID do aplicativo (cliente) na tela Visão geral da página Registos do aplicativo*.
Adicionar um URI de redirecionamento após o registro do aplicativo
Você também pode adicionar URIs de redirecionamento após o registro do aplicativo seguindo estas etapas:
- Na visão geral do aplicativo, em Gerenciar no menu à esquerda, selecione Autenticação.
- Selecione Web e, em seguida, selecione Adicionar URI em Redirecionar URIs.
- Adicione um novo URI de redirecionamento e selecione Salvar.
Para obter mais informações sobre o registro de aplicativos, consulte Guia de início rápido: registrar um aplicativo com a plataforma de identidade da Microsoft.
Adicionar um segredo de cliente
O aplicativo usa um segredo de cliente para autenticar-se no fluxo de trabalho SSO. Você pode adicionar um segredo do cliente usando as seguintes etapas:
- Na visão geral do aplicativo, em Gerenciar no menu à esquerda, selecione Certificados & segredos.
- Selecione Segredos do cliente e, em seguida, selecione Novo segredo do cliente.
- Insira uma descrição para o segredo do cliente e defina uma data de validade.
- Selecione Adicionar.
Aviso
Lembre-se de salvar o segredo do cliente em um lugar seguro. Não é possível recuperá-lo depois de sair desta página. O segredo do cliente deve ser fornecido com o identificador do cliente quando fizer a autenticação como aplicação.
Configurar escopo
A scope propriedade de SSO é uma lista de escopos a serem incluídos nos tokens de identidade JWT. Muitas vezes, são referidos como permissões. A plataforma de identidade suporta vários escopos do OpenID Connect, como openid, emaile profile. Para mais informações, consulte a seção Âmbitos do OpenID Connect em Âmbitos e permissões na plataforma de identidade da Microsoft.
Configurar o URI do emissor
O URI do emissor é o URI que é declarado como seu Identificador do Emissor. Por exemplo, se o issuer-uri fornecido for https://example.com, uma Solicitação de Configuração do Provedor OpenID será feita para https://example.com/.well-known/openid-configuration.
O URI do emissor do Microsoft Entra ID é como <authentication-endpoint>/<Your-TenantID>/v2.0. Substitua <authentication-endpoint> pelo ponto de extremidade de autenticação para seu ambiente de nuvem (por exemplo, https://login.microsoftonline.com para o Azure global) e substitua <Your-TenantID> pela ID do diretório (locatário) onde o aplicativo foi registrado.
Configurar SSO
Depois de configurar seu aplicativo Microsoft Entra, você pode configurar as propriedades SSO do Spring Cloud Gateway ou do API Portal seguindo estas etapas:
- Selecione Spring Cloud Gateway ou API portal em componentes VMware Tanzu no menu esquerdo e, em seguida, selecione Configuração.
- Insira o
Scope,Client Id,Client SecreteIssuer URInos campos apropriados. Separe vários escopos com uma vírgula. - Selecione Salvar para habilitar a configuração de SSO.
Nota
Depois de configurar as propriedades do SSO, lembre-se de habilitar o SSO para as rotas do Spring Cloud Gateway definindo ssoEnabled=true. Para obter mais informações, consulte Configuração de rota.