Поделиться через

Настройка единого входа с помощью идентификатора Microsoft Entra для Шлюза Spring Cloud и портала API

  • Статья

Примечание.

Планы "Базовый", "Стандартный" и "Корпоративный" будут устарели начиная с середины марта 2025 г. с 3-летнего периода выхода на пенсию. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.

Стандартный план потребления и выделенного плана будет устарел с 30 сентября 2024 г. с полным завершением работы после шести месяцев. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в статье "Миграция потребления Azure Spring Apps Standard" и выделенного плана в приложения контейнеров Azure.

Эта статья относится к:❌ Basic/Standard ✔️ Enterprise

В этой статье показано, как настроить единый вход для Шлюза Spring Cloud или портала API с помощью идентификатора Microsoft Entra в качестве поставщика идентификации OpenID.

Необходимые компоненты

Чтобы включить единый вход для Шлюза Spring Cloud или портала API, необходимо настроить следующие четыре свойства:

Свойство единого входа Конфигурация Microsoft Entra
clientId См. раздел " Регистрация приложения"
clientSecret См. раздел "Создание секрета клиента"
область См. раздел "Настройка области"
issuerUri См. раздел URI создания издателя

Вы настроите свойства в идентификаторе Microsoft Entra в следующих шагах.

Назначение конечной точки для Шлюза Spring Cloud или портала API

Сначала необходимо получить назначенную общедоступную конечную точку для шлюза Spring Cloud и портала API, выполнив следующие действия.

  1. Откройте экземпляр службы плана Enterprise в портал Azure.
  2. Выберите Spring Cloud Gateway или портал API в разделе компонентов VMware Tanzu в меню слева.
  3. Нажмите кнопку "Да" рядом с назначением конечной точки.
  4. Скопируйте URL-адрес для использования в следующем разделе этой статьи.

Создание регистрации приложения Microsoft Entra

Зарегистрируйте приложение, чтобы установить связь доверия между приложением и платформа удостоверений Майкрософт, выполнив следующие действия:

  1. На начальном экране выберите идентификатор Microsoft Entra в меню слева.
  2. Выберите "Регистрация приложений" в разделе "Управление", а затем нажмите кнопку "Создать регистрацию".
  3. Введите отображаемое имя приложения в разделе "Имя", а затем выберите тип учетной записи для регистрации в разделе "Поддерживаемые типы учетных записей".
  4. В URI перенаправления (необязательно) выберите Веб-адрес, а затем введите URL-адрес из приведенного выше раздела в текстовом поле. URI перенаправления — это расположение, в котором идентификатор Microsoft Entra перенаправляет клиент и отправляет маркеры безопасности после проверки подлинности.
  5. Нажмите кнопку "Регистрация", чтобы завершить регистрацию приложения.

После завершения регистрации вы увидите идентификатор приложения (клиента) на экране обзора страницы Регистрация приложений*.

Добавление URI перенаправления после регистрации приложения

Вы также можете добавить URI перенаправления после регистрации приложения, выполнив следующие действия.

  1. В разделе "Управление" в меню слева выберите "Проверка подлинности".
  2. Выберите веб-сайт, а затем выберите "Добавить URI" в разделе URI перенаправления.
  3. Добавьте новый URI перенаправления, а затем нажмите кнопку "Сохранить".

Снимок экрана: добавление URI перенаправления на экран проверки подлинности.

Дополнительные сведения о регистрации приложений см. в кратком руководстве. Регистрация приложения с помощью платформа удостоверений Майкрософт.

Добавление секрета клиента

Приложение использует секрет клиента для проверки подлинности в рабочем процессе единого входа. Вы можете добавить секрет клиента, выполнив следующие действия.

  1. В разделе "Управление" в меню слева выберите "Сертификаты и секреты".
  2. Выберите секреты клиента, а затем выберите новый секрет клиента.
  3. Введите описание секрета клиента, а затем задайте дату окончания срока действия.
  4. Выберите Добавить.

Предупреждение

Не забудьте сохранить секрет клиента в безопасном месте. Вы не можете получить его после выхода из этой страницы. Секрет клиента должен быть предоставлен с идентификатором клиента при входе в приложение.

Настройка области

Свойство scope единого входа — это список областей, которые необходимо включить в маркеры удостоверений JWT. Они часто называются разрешениями. Платформа удостоверений поддерживает несколько областей OpenID Connect, таких как openid, emailи profile. Дополнительные сведения см. в разделе "Области и разрешения OpenID Connect" в платформа удостоверений Майкрософт.

Настройка URI издателя

URI издателя — это универсальный код ресурса (URI), который утверждается в качестве идентификатора издателя. Например, если указан https://example.comURI издателя, запрос конфигурации поставщика OpenID будет выполнен https://example.com/.well-known/openid-configuration.

URI издателя идентификатора Microsoft Entra ID выглядит следующим <authentication-endpoint>/<Your-TenantID>/v2.0образом. Замените <authentication-endpoint> конечную точку проверки подлинности для облачной среды (например, https://login.microsoftonline.com для глобальной среды Azure) и замените <Your-TenantID> идентификатором каталога (клиента), где было зарегистрировано приложение.

Настройка единого входа

После настройки приложения Microsoft Entra можно настроить свойства единого входа шлюза Spring Cloud или портала API, выполнив следующие действия.

  1. Выберите Spring Cloud Gateway или портал API в разделе компонентов VMware Tanzu в меню слева, а затем выберите "Конфигурация".
  2. ScopeВведите , Client IdClient Secretи Issuer URI в соответствующих полях. Разделите несколько областей с запятыми.
  3. Нажмите кнопку "Сохранить", чтобы включить конфигурацию единого входа.

Примечание.

После настройки свойств единого входа не забудьте включить единый вход для маршрутов Шлюза Spring Cloud, задав параметр ssoEnabled=true. Дополнительные сведения см. в разделе "Конфигурация маршрута".

Следующие шаги