在 Azure Spring Apps 中管理應用程式的使用者指派受控識別

注意

Azure Spring Apps 是 Azure Spring Cloud 服務的新名稱。 雖然服務有新的名稱，但是您暫時還是會在某些位置看到舊的名稱。我們正在致力更新螢幕擷取畫面、影片和圖表等資產。

本文適用於： ✔️基本/標準✔️企業

本文說明如何使用 Azure 入口網站 和 Azure CLI，為 Azure Spring Apps 中的應用程式指派或移除使用者指派的受控識別。

適用於 Azure 資源的受控識別會將 Microsoft Entra ID 中的自動受控識別提供給 Azure 資源，例如 Azure Spring Apps 中的應用程式。 您可以使用此身分識別來向任何支援 Microsoft Entra 驗證的服務進行驗證，不需要任何您程式碼中的認證。

必要條件

• 如果您不熟悉 Azure 資源的受控識別，請參閱 什麼是 Azure 資源的受控識別？

• 已布建的 Azure Spring Apps 企業版方案實例。 如需詳細資訊，請參閱 快速入門：使用企業方案建置和部署應用程式至 Azure Spring Apps。
• Azure CLI 2.45.0 版或更新版本。
• 適用於 Azure CLI 的 Azure Spring Apps 擴充功能支援具有 1.0.0 版或更新版本的應用程式使用者指派受控識別。 使用下列命令來移除舊版並安裝最新的擴充功能：

  az extension remove --name spring
  az extension add --name spring
  

• 至少有一個已布建的使用者指派受控識別。 如需詳細資訊，請參閱管理使用者指派受控識別。

• 已布建的 Azure Spring Apps 實例。 如需詳細資訊，請參閱 快速入門：將第一個應用程式部署至 Azure Spring Apps。
• Azure CLI 2.45.0 版或更新版本。
• 適用於 Azure CLI 的 Azure Spring Apps 擴充功能支援具有 1.0.0 版或更新版本的應用程式使用者指派受控識別。 使用下列命令來移除舊版並安裝最新的擴充功能：

  az extension remove --name spring
  az extension add --name spring
  

• 至少有一個已布建的使用者指派受控識別。 如需詳細資訊，請參閱管理使用者指派受控識別。

建立應用程式時指派使用者指派的受控識別

使用下列命令，同時建立應用程式並指派使用者指派的受控識別：

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

將使用者指派的受控識別指派給現有的應用程式

指派使用者指派的受控識別需要在應用程式上設定另一個屬性。

Azure 入口網站

若要將使用者指派的受控識別指派給 Azure 入口網站 中的現有應用程式，請遵循下列步驟：

1. 如往常一樣，流覽至 Azure 入口網站 中的應用程式。
2. 向下捲動至 左側瀏覽窗格中的 [設定 ] 群組。
3. 選取 [身分識別]。
4. 在 [使用者指派] 索引標籤內，選取 [新增]。
5. 從右側面板中選擇一或多個使用者指派的受控識別，然後從此面板選取 [ 新增 ]。

Azure CLI

使用下列命令，在現有的應用程式上指派一或多個使用者指派的受控識別：

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

取得 Azure 資源的令牌

應用程式可以使用其受控識別來取得令牌，以存取受 Microsoft Entra 識別符保護的其他資源，例如 Azure 金鑰保存庫。 這些令牌代表存取資源的應用程式，而不是應用程式的任何特定使用者。

您可能需要設定目標資源，才能從您的應用程式啟用存取。 如需詳細資訊，請參閱 將受控識別存取權指派給 Azure 資源或其他資源。 例如，如果您要求令牌來存取 金鑰保存庫，請確定您已新增包含應用程式身分識別的存取原則。 否則，即使呼叫 金鑰保存庫 包含令牌，也會遭到拒絕。 若要深入瞭解哪些資源支援 Microsoft Entra 令牌，請參閱 支援 Microsoft Entra 驗證的 Azure 服務

Azure Spring Apps 會與 Azure 虛擬機器 共用相同的端點來取得令牌。 我們建議使用 Java SDK 或 Spring Boot 入門來取得令牌。 如需各種程式代碼和腳本範例，以及處理令牌到期和 HTTP 錯誤等重要主題的指引，請參閱 如何在 Azure VM 上使用 Azure 資源的受控識別來取得存取令牌。

從現有的應用程式移除使用者指派的受控識別

拿掉使用者指派的受控識別會移除身分識別與應用程式之間的指派，而且不會刪除身分識別本身。

Azure 入口網站

若要從不再需要的應用程式移除使用者指派的受控識別，請遵循下列步驟：

1. 使用與包含 Azure Spring Apps 實例的 Azure 訂用帳戶相關聯的帳戶登入 Azure 入口網站。
2. 流覽至所需的應用程式，然後選取 [ 身分識別]。
3. 在 [使用者指派] 下，選取 [目標身分識別]，然後選取 [移除]。

Azure CLI

若要從不再需要的應用程式中移除使用者指派的受控識別，請使用下列命令：

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

限制

如需使用者指派的受控識別限制，請參閱 Azure Spring Apps 的配額和服務方案。

下一步

• 什麼是 Azure 資源受控識別？
• 如何搭配 Java SDK 使用受控識別