Hantera användartilldelade hanterade identiteter för ett program i Azure Spring Apps

Artikel
02/06/2024

Kommentar

Azure Spring Apps är det nya namnet på Azure Spring Cloud-tjänsten. Även om tjänsten har ett nytt namn ser du det gamla namnet på vissa platser ett tag medan vi arbetar med att uppdatera tillgångar som skärmbilder, videor och diagram.

Den här artikeln gäller för: ✔️ Basic/Standard ✔️ Enterprise

Den här artikeln visar hur du tilldelar eller tar bort användartilldelade hanterade identiteter för ett program i Azure Spring Apps med hjälp av Azure-portalen och Azure CLI.

Hanterade identiteter för Azure-resurser ger en automatiskt hanterad identitet i Microsoft Entra-ID till en Azure-resurs, till exempel ditt program i Azure Spring Apps. Du kan använda den här identiteten för att autentisera mot alla tjänster som har stöd för Microsoft Entra-autentisering, utan att behöva ha några autentiseringsuppgifter i koden.

Förutsättningar

Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa Vad är hanterade identiteter för Azure-resurser?

En redan etablerad Azure Spring Apps Enterprise-planinstans. Mer information finns i Snabbstart: Skapa och distribuera appar till Azure Spring Apps med hjälp av Enterprise-planen.
Azure CLI version 2.45.0 eller senare.
Azure Spring Apps-tillägget för Azure CLI stöder appanvändartilldelad hanterad identitet med version 1.0.0 eller senare. Använd följande kommando för att ta bort tidigare versioner och installera det senaste tillägget:
```
az extension remove --name spring
az extension add --name spring
```
Minst en redan etablerad användartilldelad hanterad identitet. Mer information finns i Hantera användartilldelade hanterade identiteter.

En redan etablerad Azure Spring Apps-instans. Mer information finns i Snabbstart: Distribuera ditt första program till Azure Spring Apps.
Azure CLI version 2.45.0 eller senare.
Azure Spring Apps-tillägget för Azure CLI stöder appanvändartilldelad hanterad identitet med version 1.0.0 eller senare. Använd följande kommando för att ta bort tidigare versioner och installera det senaste tillägget:
```
az extension remove --name spring
az extension add --name spring
```
Minst en redan etablerad användartilldelad hanterad identitet. Mer information finns i Hantera användartilldelade hanterade identiteter.

Tilldela användartilldelade hanterade identiteter när du skapar ett program

Skapa ett program och tilldela användartilldelad hanterad identitet samtidigt med hjälp av följande kommando:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Tilldela användartilldelade hanterade identiteter till ett befintligt program

Om du tilldelar användartilldelad hanterad identitet måste du ange en annan egenskap för programmet.

Azure-portalen
Azure CLI

Följ dessa steg för att tilldela användartilldelad hanterad identitet till ett befintligt program i Azure-portalen:

Navigera till ett program i Azure-portalen som vanligt.
Rulla ned till gruppen Inställningar i det vänstra navigeringsfönstret.
Välj Identitet.
På fliken Användartilldelade väljer du Lägg till.
Välj en eller flera användartilldelade hanterade identiteter från den högra panelen och välj sedan Lägg till i den här panelen.

Använd följande kommando för att tilldela en eller flera användartilldelade hanterade identiteter i en befintlig app:

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Hämta token för Azure-resurser

Ett program kan använda sin hanterade identitet för att hämta token för att få åtkomst till andra resurser som skyddas av Microsoft Entra-ID, till exempel Azure Key Vault. Dessa token representerar programmet som kommer åt resursen, inte någon specifik användare av programmet.

Du kan behöva konfigurera målresursen för att tillåta åtkomst från ditt program. Mer information finns i Tilldela en hanterad identitet åtkomst till en resurs med hjälp av Azure-portalen. Om du till exempel begär en token för att få åtkomst till Key Vault måste du ha lagt till en åtkomstprincip som innehåller programmets identitet. Annars avvisas dina anrop till Key Vault, även om de innehåller token. Mer information om vilka resurser som stöder Microsoft Entra-token finns i Azure-tjänster som stöder Microsoft Entra-autentisering

Azure Spring Apps delar samma slutpunkt för tokenförvärv med Azure Virtual Machines. Vi rekommenderar att du använder Java SDK eller Spring Boot-startappar för att hämta en token. Olika kod- och skriptexempel samt vägledning om viktiga ämnen som att hantera förfallodatum för token och HTTP-fel finns i Använda hanterade identiteter för Azure-resurser på en virtuell Azure-dator för att hämta en åtkomsttoken.

Ta bort användartilldelade hanterade identiteter från en befintlig app

Om du tar bort användartilldelade hanterade identiteter tas tilldelningen bort mellan identiteterna och programmet och identiteterna tas inte bort.

Azure-portalen
Azure CLI

Följ dessa steg om du vill ta bort användartilldelade hanterade identiteter från ett program som inte längre behöver det:

Logga in på Azure-portalen med ett konto som är associerat med Azure-prenumerationen som innehåller Azure Spring Apps-instansen.
Navigera till önskat program och välj Identitet.
Under Användartilldelade väljer du målidentiteter och väljer sedan Ta bort.

Om du vill ta bort användartilldelade hanterade identiteter från ett program som inte längre behöver det använder du följande kommando:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

Begränsningar

Användartilldelade begränsningar för hanterad identitet finns i Kvoter och tjänstplaner för Azure Spring Apps.

Share via