Sdílet prostřednictvím


Správa spravovaných identit přiřazených uživatelem pro aplikaci v Azure Spring Apps

Poznámka:

Plány Basic, Standard a Enterprise budou od poloviny března 2025 vyřazeny ze 3letého období vyřazení. Doporučujeme přejít na Azure Container Apps. Další informace najdete v oznámení o vyřazení Azure Spring Apps.

Od 30. září 2024 bude od 30. září 2024 zastaralý plán s úplným vypnutím po šesti měsících. Doporučujeme přejít na Azure Container Apps. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.

Tento článek se vztahuje na:✅ Basic/Standard ✅ Enterprise

V tomto článku se dozvíte, jak přiřadit nebo odebrat spravované identity přiřazené uživatelem pro aplikaci v Azure Spring Apps pomocí webu Azure Portal a Azure CLI.

Spravované identity pro prostředky Azure poskytují automaticky spravovanou identitu v Microsoft Entra ID prostředku Azure, jako je vaše aplikace v Azure Spring Apps. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.

Požadavky

  • Už zřízená instance Azure Spring Apps. Další informace najdete v tématu Rychlý start: Nasazení první aplikace do Azure Spring Apps.
  • Azure CLI verze 2.45.0 nebo vyšší
  • Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:
    az extension remove --name spring
    az extension add --name spring
    
  • Alespoň jedna už zřízená spravovaná identita přiřazená uživatelem. Další informace najdete v tématu Správa spravovaných identit přiřazených uživatelem.

Přiřazení spravovaných identit přiřazených uživatelem při vytváření aplikace

Pomocí následujícího příkazu vytvořte aplikaci a přiřaďte spravovanou identitu přiřazenou uživatelem současně:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Přiřazení spravovaných identit přiřazených uživatelem ke stávající aplikaci

Přiřazení spravované identity přiřazené uživatelem vyžaduje nastavení jiné vlastnosti v aplikaci.

Pokud chcete přiřadit spravovanou identitu přiřazenou uživatelem k existující aplikaci na webu Azure Portal, postupujte takto:

  1. Na webu Azure Portal přejděte k aplikaci stejně jako obvykle.
  2. Posuňte se dolů ke skupině Nastavení v levém navigačním podokně.
  3. Vyberte Identita.
  4. Na kartě Přiřazené uživatelem vyberte Přidat.
  5. Na pravém panelu zvolte jednu nebo více spravovaných identit přiřazených uživatelem a pak vyberte Přidat z tohoto panelu.

Získání tokenů pro prostředky Azure

Aplikace může pomocí své spravované identity získat tokeny pro přístup k dalším prostředkům chráněným ID Microsoft Entra, jako je Azure Key Vault. Tyto tokeny představují aplikaci, která přistupuje k prostředku, nikoli žádnému konkrétnímu uživateli aplikace.

Možná budete muset nakonfigurovat cílový prostředek tak, aby umožňoval přístup z vaší aplikace. Další informace najdete v tématu Přiřazení přístupu spravované identity k prostředku Azure nebo jinému prostředku. Pokud například požadujete token pro přístup ke službě Key Vault, ujistěte se, že jste přidali zásady přístupu, které zahrnují identitu vaší aplikace. Jinak se vaše volání do služby Key Vault zamítnou, i když token obsahují. Další informace o tom, které prostředky podporují tokeny Microsoft Entra, najdete v tématu Služby Azure, které podporují ověřování Microsoft Entra.

Azure Spring Apps sdílí stejný koncový bod pro získání tokenu se službou Azure Virtual Machines. K získání tokenu doporučujeme použít sadu Java SDK nebo úvodní sady Spring Boot. Různé příklady kódu a skriptů a pokyny k důležitým tématům, jako je zpracování vypršení platnosti tokenu a chyb HTTP, najdete v tématu Použití spravovaných identit pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.

Odebrání spravovaných identit přiřazených uživatelem z existující aplikace

Odebrání spravovaných identit přiřazených uživatelem odebere přiřazení mezi identitami a aplikací a neodstraní samotné identity.

Pokud chcete odebrat spravované identity přiřazené uživatelem z aplikace, která ji už nepotřebuje, postupujte takto:

  1. Přihlaste se k webu Azure Portal pomocí účtu přidruženého k předplatnému Azure, které obsahuje instanci Azure Spring Apps.
  2. Přejděte do požadované aplikace a vyberte Identita.
  3. V části Přiřazený uživatel vyberte cílové identity a pak vyberte Odebrat.

Omezení

Omezení spravované identity přiřazené uživatelem najdete v tématu Kvóty a plány služeb pro Azure Spring Apps.

Další kroky