Включение управляемого удостоверения, назначаемого системой, для приложения в Azure Spring Apps
Примечание.
Azure Spring Apps — это новое название службы Azure Spring Cloud. Старое название будет еще некоторое время встречаться в наших материалах, пока мы не обновим ресурсы, такие как снимки экрана, видео и схемы.
Эта статья относится к: ✔️ Basic/Standard ✔️ Enterprise
В этой статье показано, как включить и отключить назначенные системой управляемые удостоверения для приложения Azure Spring Apps с помощью портала Azure и CLI.
Управляемые удостоверения для ресурсов Azure предоставляют автоматически управляемое удостоверение в идентификаторе Microsoft Entra для ресурса Azure, например приложения в Azure Spring Apps. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает аутентификацию Microsoft Entra, без использования учетных данных в коде.
Необходимые компоненты
Если вы не знакомы с управляемыми удостоверениями для ресурсов Azure, ознакомьтесь со сведениями об управляемых удостоверениях для ресурсов Azure?
- Уже подготовленный экземпляр плана Azure Spring Apps Enterprise. Дополнительные сведения см . в кратком руководстве по созданию и развертыванию приложений в Azure Spring Apps с помощью плана Enterprise.
- Azure CLI версии 2.45.0 или более поздней.
- Расширение Azure Spring Apps для Azure CLI поддерживает управляемое удостоверение, назначаемое пользователем, с версией 1.0.0 или более поздней. Используйте следующую команду, чтобы удалить предыдущие версии и установить последнее расширение:
az extension remove --name spring az extension add --name spring
- Подготовленный экземпляр Azure Spring Apps. Дополнительные сведения см. в статье Краткое руководство. Развертывание первого приложения Azure Spring Apps.
- Azure CLI версии 2.45.0 или более поздней.
- Расширение Azure Spring Apps для Azure CLI поддерживает управляемое удостоверение, назначаемое пользователем, с версией 1.0.0 или более поздней. Используйте следующую команду, чтобы удалить предыдущие версии и установить последнее расширение:
az extension remove --name spring az extension add --name spring
Добавление назначаемого системой удостоверения
Для создания приложения с удостоверением, назначаемого системой, требуется задать другое свойство в приложении.
Чтобы настроить управляемое удостоверение на портале, сначала необходимо создать приложение, а затем активировать соответствующую функцию.
- Создайте приложение на портале обычным образом. Перейдите к нему на портале.
- Прокрутите вниз до группы Параметры в левой области навигации.
- Выберите Удостоверение.
- На вкладке Назначено системой для параметра Состояние установите значение Вкл. Выберите Сохранить.
Получение маркеров для ресурсов Azure
Приложение может использовать управляемое удостоверение для получения маркеров для доступа к другим ресурсам, защищенным идентификатором Microsoft Entra, например Azure Key Vault. Эти маркеры представляют приложение, получающее доступ к ресурсам, а не конкретного пользователя приложения.
Чтобы разрешить доступ из приложения, необходимо настроить целевой ресурс. Например, если вы запрашиваете маркер для получения доступа к Key Vault, добавьте политику доступа, включающую в себя удостоверение приложения. В противном случае вызовы Key Vault отклоняются, даже если они включают маркер. Дополнительные сведения о том, какие ресурсы поддерживают маркеры Microsoft Entra, см . в службах Azure, которые могут использовать управляемые удостоверения для доступа к другим службам.
Azure Spring Apps использует одну и ту же конечную точку для получения маркера с помощью виртуальной машины Azure. Для получения токена рекомендуется использовать пакет SDK для Java или приложения Spring Boot Starter. Различные примеры кода и скриптов и рекомендации по важным темам, таким как обработка истечения срока действия маркера и ошибки HTTP, см. в статье Использование управляемых удостоверений для ресурсов Azure на виртуальной машине Azure для получения маркера доступа.
Отключение удостоверения, назначаемого системой, из приложения
Удаление удостоверения, назначаемого системой, также удаляет его из идентификатора Microsoft Entra. При удалении ресурса приложения автоматически удаляются удостоверения, назначенные системой, из идентификатора Microsoft Entra.
Выполните следующие действия, чтобы удалить управляемое удостоверение, назначаемое системой, из приложения, которое больше не требуется:
- Войдите на портал с помощью учетной записи, связанной с подпиской Azure, которая содержит экземпляр Azure Spring Apps.
- Перейдите к нужному приложению и выберите Удостоверение.
- В разделе Назначено системой/Состояние нажмите кнопку Выкл., а затем Сохранить.
Получение идентификатора клиента из идентификатора объекта (идентификатор субъекта)
Используйте следующую команду, чтобы получить идентификатор клиента из значения идентификатора объекта или субъекта:
az ad sp show --id <object-ID> --query appId