Usar identidades gerenciadas para aplicativos no Azure Spring Apps
Nota
Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.
O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.
Este artigo aplica-se a: ✔️ Basic/Standard ✔️ Enterprise
Este artigo mostra como usar identidades gerenciadas atribuídas pelo sistema e pelo usuário para aplicativos no Azure Spring Apps.
As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente no Microsoft Entra ID para um recurso do Azure, como seu aplicativo no Azure Spring Apps. Pode utilizar esta identidade para se autenticar em qualquer serviço que suporte a autenticação do Microsoft Entra sem ter credenciais no código.
Status do recurso
| Atribuída pelo sistema | Atribuída pelo utilizador |
|---|---|
| GA | GA |
Gerenciar identidade gerenciada para um aplicativo
Para identidades gerenciadas atribuídas pelo sistema, consulte Como habilitar e desabilitar a identidade gerenciada atribuída ao sistema.
Para identidades gerenciadas atribuídas pelo usuário, consulte Como atribuir e remover identidades gerenciadas atribuídas pelo usuário.
Obter tokens para recursos do Azure
Um aplicativo pode usar sua identidade gerenciada para obter tokens para acessar outros recursos protegidos pelo Microsoft Entra ID, como o Azure Key Vault. Esses tokens representam o aplicativo que acessa o recurso, não qualquer usuário específico do aplicativo.
Você pode configurar o recurso de destino para habilitar o acesso do seu aplicativo. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciada a um recurso do Azure ou outro recurso. Por exemplo, se você solicitar um token para acessar o Cofre da Chave, certifique-se de ter adicionado uma política de acesso que inclua a identidade do seu aplicativo. Caso contrário, suas chamadas para o Cofre da Chave serão rejeitadas, mesmo que incluam o token. Para saber mais sobre quais recursos oferecem suporte a tokens do Microsoft Entra, consulte Serviços do Azure que oferecem suporte à autenticação do Microsoft Entra.
O Azure Spring Apps partilha o mesmo ponto de extremidade para aquisição de tokens com as Máquinas Virtuais do Azure. Recomendamos o uso de Java SDK ou Spring Boot starters para adquirir um token. Para obter vários exemplos de código e script, bem como orientações sobre tópicos importantes, como lidar com expiração de token e erros HTTP, consulte Como usar identidades gerenciadas para recursos do Azure em uma VM do Azure para adquirir um token de acesso.
Exemplos de conexão de serviços do Azure no código do aplicativo
A tabela a seguir fornece links para artigos que contêm exemplos:
Práticas recomendadas ao usar identidades gerenciadas
É altamente recomendável que você use identidades gerenciadas atribuídas pelo sistema e pelo usuário separadamente, a menos que tenha um caso de uso válido. Se você usar os dois tipos de identidade gerenciada juntos, uma falha poderá acontecer se um aplicativo estiver usando a identidade gerenciada atribuída ao sistema e o aplicativo obtiver o token sem especificar a ID do cliente dessa identidade. Esse cenário pode funcionar bem até que uma ou mais identidades gerenciadas atribuídas ao usuário sejam atribuídas a esse aplicativo, então o aplicativo pode não conseguir obter o token correto.
Limitações
Número máximo de identidades gerenciadas atribuídas pelo usuário por aplicativo
Para obter o número máximo de identidades gerenciadas atribuídas pelo usuário por aplicativo, consulte Cotas e planos de serviço para aplicativos Azure Spring.
Mapeamento conceitual
A tabela a seguir mostra os mapeamentos entre os conceitos no escopo Identidade Gerenciada e no escopo do Microsoft Entra:
| Escopo da Identidade Gerenciada | Escopo do Microsoft Entra |
|---|---|
| Principal ID | ID do Objeto |
| ID de Cliente | ID da aplicação |