Povolení spravované identity přiřazené systémem pro aplikaci v Azure Spring Apps

Článek
11/20/2024

Poznámka:

Plány Basic, Standard a Enterprise budou od poloviny března 2025 vyřazeny ze 3letého období vyřazení. Doporučujeme přejít na Azure Container Apps. Další informace najdete v oznámení o vyřazení Azure Spring Apps.

Od 30. září 2024 bude od 30. září 2024 zastaralý plán s úplným vypnutím po šesti měsících. Doporučujeme přejít na Azure Container Apps. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.

Tento článek se vztahuje na:✅ Basic/Standard ✅ Enterprise

V tomto článku se dozvíte, jak povolit a zakázat spravované identity přiřazené systémem pro aplikaci v Azure Spring Apps pomocí webu Azure Portal a rozhraní příkazového řádku.

Spravované identity pro prostředky Azure poskytují automaticky spravovanou identitu v Microsoft Entra ID prostředku Azure, jako je vaše aplikace v Azure Spring Apps. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.

Požadavky

Pokud neznáte spravované identity pro prostředky Azure, přečtěte si téma Co jsou spravované identity pro prostředky Azure?

Již zřízená instance plánu Azure Spring Apps Enterprise. Další informace najdete v tématu Rychlý start: Sestavování a nasazování aplikací do Azure Spring Apps pomocí plánu Enterprise.
Azure CLI verze 2.45.0 nebo vyšší
Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:
```
az extension remove --name spring
az extension add --name spring
```

Už zřízená instance Azure Spring Apps. Další informace najdete v tématu Rychlý start: Nasazení první aplikace do Azure Spring Apps.
Azure CLI verze 2.45.0 nebo vyšší
Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:
```
az extension remove --name spring
az extension add --name spring
```

Přidání identity přiřazené systémem

Vytvoření aplikace s identitou přiřazenou systémem vyžaduje nastavení jiné vlastnosti aplikace.

Azure Portal
Azure CLI

Pokud chcete nastavit spravovanou identitu na portálu, nejprve vytvořte aplikaci a pak tuto funkci povolte.

Vytvořte na portálu aplikaci, jak byste normálně měli. Přejděte na něj na portálu.
Posuňte se dolů ke skupině Nastavení v levém navigačním podokně.
Vyberte Identita.
Na kartě Přiřazený systém přepněte stav na Zapnuto. Zvolte Uložit.

Spravovanou identitu přiřazenou systémem můžete povolit při vytváření aplikace nebo v existující aplikaci.

Povolení spravované identity přiřazené systémem během vytváření aplikace

Následující příklad vytvoří aplikaci s názvem app_name se spravovanou identitou přiřazenou systémem podle požadavku parametru --assign-identity .

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Povolení spravované identity přiřazené systémem v existující aplikaci**

Pomocí az spring app identity assign příkazu povolíte identitu přiřazenou systémem v existující aplikaci.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Získání tokenů pro prostředky Azure

Aplikace může pomocí své spravované identity získat tokeny pro přístup k dalším prostředkům chráněným ID Microsoft Entra, jako je Azure Key Vault. Tyto tokeny představují aplikaci, která přistupuje k prostředku, nikoli žádnému konkrétnímu uživateli aplikace.

Možná budete muset nakonfigurovat cílový prostředek tak, aby umožňoval přístup z vaší aplikace. Další informace najdete v tématu Přiřazení přístupu spravované identity k prostředku Azure nebo jinému prostředku. Pokud například požádáte o token pro přístup ke službě Key Vault, ujistěte se, že jste přidali zásady přístupu, které zahrnují identitu vaší aplikace. Jinak se vaše volání do služby Key Vault zamítnou, i když token obsahují. Další informace o tom, které prostředky podporují tokeny Microsoft Entra, najdete ve službách Azure, které můžou používat spravované identity pro přístup k jiným službám.

Azure Spring Apps sdílí stejný koncový bod pro získání tokenu s virtuálním počítačem Azure. K získání tokenu doporučujeme použít sadu Java SDK nebo úvodní sady Spring Boot. Různé příklady kódu a skriptů a pokyny k důležitým tématům, jako je zpracování vypršení platnosti tokenu a chyb HTTP, najdete v tématu Použití spravovaných identit pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.

Zakázání identity přiřazené systémem z aplikace

Odebráním identity přiřazené systémem se odstraní také z ID Microsoft Entra. Odstraněním prostředku aplikace se automaticky odeberou identity přiřazené systémem z ID Microsoft Entra.

Azure Portal
Azure CLI

Pomocí následujících kroků odeberte spravovanou identitu přiřazenou systémem z aplikace, která ji už nepotřebuje:

Přihlaste se k portálu pomocí účtu přidruženého k předplatnému Azure, které obsahuje instanci Azure Spring Apps.
Přejděte do požadované aplikace a vyberte Identita.
V části Stav přiřazený/systémem vyberte Vypnuto a pak vyberte Uložit:

Pokud chcete odebrat spravovanou identitu přiřazenou systémem z aplikace, která ji už nepotřebuje, použijte následující příkaz:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Získání ID klienta z ID objektu (ID objektu)

Pomocí následujícího příkazu získejte ID klienta z hodnoty ID objektu nebo objektu zabezpečení:

az ad sp show --id <object-ID> --query appId

Sdílet prostřednictvím