Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Планы Basic, Standardи Enterprise вступили в период вывода из обращения 17 марта 2025 года. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.
Эта статья относится к: ❎ Basic/Standard ✅ Enterprise
В этой статье показано, как настроить единый вход для Шлюза Spring Cloud или портала API с помощью идентификатора Microsoft Entra в качестве поставщика идентификации OpenID.
Предварительные условия
- Экземпляр плана Enterprise с включенным шлюзом Spring Cloud или порталом API. Для получения дополнительной информации см. быстрое руководство по созданию и развертыванию приложений в Azure Spring Apps с использованием плана Enterprise.
- Достаточные разрешения для управления приложениями Microsoft Entra.
Чтобы включить единый вход для Шлюза Spring Cloud или портала API, необходимо настроить следующие четыре свойства:
| Свойство единого входа | Конфигурация Microsoft Entra |
|---|---|
| clientId | См. раздел " Регистрация приложения" |
| clientSecret | См. раздел "Создание секрета клиента" |
| область | См. раздел "Настройка области" |
| issuerUri | См. Создать URI издателя |
Вы настроите свойства в идентификаторе Microsoft Entra в следующих шагах.
Назначение конечной точки для Шлюза Spring Cloud или портала API
Сначала необходимо получить назначенную общедоступную конечную точку для шлюза Spring Cloud и портала API, выполнив следующие действия.
- Откройте экземпляр службы плана Enterprise в портале Azure.
- Выберите Spring Cloud Gateway или портал API в разделе компонентов VMware Tanzu в меню слева.
- Нажмите кнопку "Да" рядом с назначением конечной точки.
- Скопируйте URL-адрес для использования в следующем разделе этой статьи.
Создание регистрации приложения Microsoft Entra
Зарегистрируйте приложение, чтобы установить связь доверия между приложением и платформа удостоверений Майкрософт, выполнив следующие действия:
- На начальном экране выберите Microsoft Entra ID в меню слева.
- Выберите "Регистрация приложений" в разделе "Управление", а затем нажмите кнопку "Создать регистрацию".
- Введите отображаемое имя приложения в разделе "Имя", а затем выберите тип учетной записи для регистрации в разделе "Поддерживаемые типы учетных записей".
- В URI перенаправления (необязательно) выберите Веб-адрес, а затем введите URL-адрес из приведенного выше раздела в текстовом поле. URI перенаправления — это место, куда Microsoft Entra ID перенаправляет ваш клиент и отправляет токены безопасности после аутентификации.
- Нажмите кнопку "Регистрация", чтобы завершить регистрацию приложения.
После завершения регистрации вы увидите идентификатор приложения (клиента) на экране обзора страницы Регистрация приложений*.
Добавление URI перенаправления после регистрации приложения
Вы также можете добавить URI перенаправления после регистрации приложения, выполнив следующие действия.
- Из вашего обзора приложения в меню слева в разделе Управление выберите Проверка подлинности.
- Выберите Веб, затем выберите Добавить URI в разделе URI перенаправления.
- Добавьте новый URI перенаправления, а затем нажмите кнопку "Сохранить".
Дополнительные сведения о регистрации приложений см. в разделе Краткое руководство: Регистрация приложения с использованием платформы идентификации Майкрософт.
Добавление секрета клиента
Приложение использует секрет клиента для проверки подлинности в рабочем процессе единого входа. Вы можете добавить секрет клиента, выполнив следующие действия.
- Из обзора вашего приложения в разделе Управление в левом меню выберите Сертификаты и секреты.
- Выберите секреты клиента, а затем выберите новый секрет клиента.
- Введите описание секрета клиента, а затем задайте дату окончания срока действия.
- Выберите Добавить.
Предупреждение
Не забудьте сохранить секрет клиента в безопасном месте. Вы не можете получить его после выхода из этой страницы. Секрет клиента должен быть предоставлен вместе с идентификатором клиента, когда вы входите в систему от имени приложения.
Настройка области
Собственныйство SSO scope — это перечень областей, которые необходимо включить в маркеры удостоверений JWT. Они часто называются разрешениями. Платформа удостоверений поддерживает несколько областей OpenID Connect, таких как openid, emailи profile. Дополнительные сведения см. в разделе "Области OpenID Connect" в разделе "Области и разрешения на платформе идентификации Microsoft".
Настройка URI издателя
URI издателя — это универсальный код ресурса (URI), который утверждается в качестве идентификатора издателя. Например, если указан URI издателя https://example.com, то запрос на конфигурацию поставщика OpenID будет выполнен https://example.com/.well-known/openid-configuration.
URI издателя идентификатора Microsoft Entra ID выглядит следующим образом: <authentication-endpoint>/<Your-TenantID>/v2.0. Замените <authentication-endpoint> конечную точку проверки подлинности для облачной среды (например, https://login.microsoftonline.com для глобальной среды Azure) и замените <Your-TenantID> идентификатором каталога (клиента), где было зарегистрировано приложение.
Настройка SSO (единого входа)
После настройки приложения Microsoft Entra можно настроить свойства единого входа шлюза Spring Cloud или портала API, выполнив следующие действия.
- Выберите Spring Cloud Gateway или портал API в разделе компонентов VMware Tanzu в меню слева, а затем выберите "Конфигурация".
- Введите
Scope,Client Id,Client SecretиIssuer URIв соответствующие поля. Разделите несколько областей запятой. - Нажмите кнопку "Сохранить", чтобы включить конфигурацию единого входа.
Примечание.
После настройки свойств единого входа не забудьте включить единый вход для маршрутов Шлюза Spring Cloud, задав параметр ssoEnabled=true. Дополнительные сведения см. в разделе "Конфигурация маршрута".