Schnellstart: Konfigurieren des einmaligen Anmeldens für Anwendungen, die den Azure Spring Apps Enterprise-Plan verwenden
Hinweis
Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.
Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren des Plans „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.
Dieser Artikel gilt für: ❎ Basic/Standard ✅ Enterprise
In dieser Schnellstartanleitung wird beschrieben, wie Sie einmaliges Anmelden für Anwendungen konfigurieren, die im Azure Spring Apps Enterprise-Plan ausgeführt werden.
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
- Eine Lizenz für den Azure Spring Apps Enterprise-Plan. Weitere Informationen finden Sie unter Enterprise-Plan in Azure Marketplace.
- Die Azure CLI Version 2.45.0 oder höher.
- Git.
- jq
- Die Erweiterung des Azure Spring Apps Enterprise-Plans. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung des Enterprise-Plans zu installieren. Wenn Sie zuvor die
spring-cloud
-Erweiterung installiert hatten, deinstallieren Sie diese Erweiterung, um Konfigurations- und Versionskonflikte zu vermeiden.az extension add --upgrade --name spring az extension remove --name spring-cloud
- Führen Sie die unter Erstellen und Bereitstellen von Apps in Azure Spring Apps mithilfe des Enterprise-Plans beschriebenen Schritte aus.
Vorbereiten von Anmeldeinformationen für einmaliges Anmelden
Zum Konfigurieren des einmaligen Anmeldens für die Anwendung müssen Sie Anmeldeinformationen vorbereiten. In den folgenden Abschnitten werden die Schritte zur Verwendung eines vorhandenen Anbieters oder bei der Bereitstellung einer Anwendungsregistrierung in Microsoft Entra ID beschrieben.
Verwenden eines vorhandenen Anbieters
Führen Sie die folgenden Schritte aus, um einmaliges Anmelden mit einem vorhandenen Identitätsanbieter zu konfigurieren. Wenn Sie eine Microsoft Entra-App-Registrierung bereitstellen, fahren Sie mit dem Abschnitt Erstellen und Konfigurieren einer Anwendungsregistrierung in Microsoft Entra ID fort.
Konfigurieren Sie Ihren vorhandenen Identitätsanbieter so, dass Umleitungen zurück zu Spring Cloud Gateway for VMware Tanzu und zum API-Portal for VMware Tanzu möglich sind. Spring Cloud Gateway verfügt über einen einzigen URI, um den erneuten Zugang zum Gateway zu ermöglichen. Das API-Portal verfügt über zwei URIs zur Unterstützung der Benutzeroberfläche und der zugrunde liegenden API. Die folgenden Befehle rufen diese URIs ab, die Sie der Konfiguration Ihres SSO-Anbieters hinzufügen.
export GATEWAY_URL=$(az spring gateway show \ --resource-group <resource-group-name> \ --service <Azure-Spring-Apps-service-instance-name> | jq -r '.properties.url') export PORTAL_URL=$(az spring api-portal show \ --resource-group <resource-group-name> \ --service <Azure-Spring-Apps-service-instance-name> | jq -r '.properties.url') echo "https://${GATEWAY_URL}/login/oauth2/code/sso" echo "https://${PORTAL_URL}/oauth2-redirect.html" echo "https://${PORTAL_URL}/login/oauth2/code/sso"
Rufen Sie die
Client ID
und denClient Secret
für Ihren Identitätsanbieter ab.Rufen Sie den
Issuer URI
für Ihren Identitätsanbieter ab. Sie müssen den Anbieter mit einem Aussteller-URI konfigurieren. Dabei handelt es sich um den URI, den er als Ausstellerbezeichner angibt. Wenn der angegebene Aussteller-URI (issuer-uri
) z. B.https://example.com
lautet, wird eine OpenID-Anbieterkonfigurationsanforderung anhttps://example.com/.well-known/openid-configuration
gesendet. Als Ergebnis wird eine OpenID-Anbieterkonfigurationsantwort erwartet.Hinweis
Sie können nur Autorisierungsserver verwenden, die das OpenID Connect Discovery-Protokoll unterstützen.
Rufen Sie den
JWK URI
für Ihren Identitätsanbieter zur späteren Verwendung ab. DerJWK URI
weist in der Regel das Format${ISSUER_URI}/keys
oder${ISSUER_URI}/<version>/keys
auf. Die Identitätsdienstanwendung verwendet die öffentlichen JSON Web Keys (JWKs), um JSON Web Token (JWT) zu überprüfen, die vom Autorisierungsserver Ihres Identitätsanbieters für einmaliges Anmelden ausgestellt wurden.
Erstellen und Konfigurieren einer Anwendungsregistrierung in Microsoft Entra ID
Führen Sie diese Schritte aus, um die Anwendung bei Microsoft Entra ID zu registrieren. Wenn Sie die Anmeldeinformationen eines vorhandenen Anbieters verwenden, fahren Sie mit dem Abschnitt Bereitstellen der Identitätsdienstanwendung fort.
Verwenden Sie den folgenden Befehl, um eine Anwendungsregistrierung in Microsoft Entra ID zu erstellen, und speichern Sie die Ausgabe:
az ad app create --display-name <app-registration-name> > ad.json
Verwenden Sie den folgenden Befehl, um die Anwendungs-ID abzurufen und den geheimen Clientschlüssel zu erfassen:
export APPLICATION_ID=$(cat ad.json | jq -r '.appId') az ad app credential reset --id ${APPLICATION_ID} --append > sso.json
Verwenden Sie den folgenden Befehl, um der Anwendungsregistrierung einen Dienstprinzipal zuzuweisen:
az ad sp create --id ${APPLICATION_ID}
Verwenden Sie die folgenden Befehle, um die URLs für Spring Cloud Gateway und für das API-Portal abzurufen und die erforderlichen Antwort-URLs zur Active Directory-App-Registrierung hinzuzufügen.
export APPLICATION_ID=$(cat ad.json | jq -r '.appId') export GATEWAY_URL=$(az spring gateway show \ --resource-group <resource-group-name> \ --service <Azure-Spring-Apps-service-instance-name> | jq -r '.properties.url') export PORTAL_URL=$(az spring api-portal show \ --resource-group <resource-group-name> \ --service <Azure-Spring-Apps-service-instance-name> | jq -r '.properties.url') az ad app update \ --id ${APPLICATION_ID} \ --web-redirect-uris "https://${GATEWAY_URL}/login/oauth2/code/sso" "https://${PORTAL_URL}/oauth2-redirect.html" "https://${PORTAL_URL}/login/oauth2/code/sso"
Verwenden Sie den folgenden Befehl, um den
Client ID
der Anwendung abzurufen. Speichern Sie die Ausgabe zur späteren Verwendung in diesem Schnellstart.cat sso.json | jq -r '.appId'
Verwenden Sie den folgenden Befehl, um den
Client Secret
der Anwendung abzurufen. Speichern Sie die Ausgabe zur späteren Verwendung in diesem Schnellstart.cat sso.json | jq -r '.password'
Verwenden Sie den folgenden Befehl, um den
Issuer URI
abzurufen. Speichern Sie die Ausgabe zur späteren Verwendung in diesem Schnellstart.export TENANT_ID=$(cat sso.json | jq -r '.tenant') echo "https://login.microsoftonline.com/${TENANT_ID}/v2.0"
Rufen Sie den
JWK URI
aus der Ausgabe des folgenden Befehls ab. Die Identitätsdienstanwendung verwendet die öffentlichen JSON Web Keys (JWKs), um JSON Web Token (JWT) zu überprüfen, die von Active Directory ausgestellt wurden.export TENANT_ID=$(cat sso.json | jq -r '.tenant') echo "https://login.microsoftonline.com/${TENANT_ID}/discovery/v2.0/keys"
Bereitstellen der Identitätsdienstanwendung
Führen Sie die folgenden Schritte aus, um die Identitätsdienstanwendung bereitzustellen und so die Konfiguration für einmaliges Anmelden abzuschließen. Die Identitätsdienstanwendung bietet eine einzige Route, um die Identifizierung des Benutzers zu unterstützen.
Navigieren Sie zum Projektordner.
Verwenden Sie den folgenden Befehl, um die
identity-service
-Anwendung zu erstellen:az spring app create \ --resource-group <resource-group-name> \ --name identity-service \ --service <Azure-Spring-Apps-service-instance-name>
Verwenden Sie den folgenden Befehl, um die externalisierte Konfiguration für den Identitätsdienst durch Bindung an den Anwendungskonfigurationsdienst zu aktivieren:
az spring application-configuration-service bind \ --resource-group <resource-group-name> \ --app identity-service \ --service <Azure-Spring-Apps-service-instance-name>
Verwenden Sie den folgenden Befehl, um die Dienstermittlung und -registrierung für den Identitätsdienst durch Bindung an die Dienstregistrierung zu aktivieren:
az spring service-registry bind \ --resource-group <resource-group-name> \ --app identity-service \ --service <Azure-Spring-Apps-service-instance-name>
Verwenden Sie den folgenden Befehl, um den Identitätsdienst bereitzustellen:
az spring app deploy \ --resource-group <resource-group-name> \ --name identity-service \ --service <Azure-Spring-Apps-service-instance-name> \ --config-file-pattern identity/default \ --source-path apps/acme-identity \ --build-env BP_JVM_VERSION=17 \ --env "JWK_URI=<jwk-uri>"
Verwenden Sie den folgenden Befehl, um Anforderungen an den Identitätsdienst weiterzuleiten:
az spring gateway route-config create \ --resource-group <resource-group-name> \ --name identity-routes \ --service <Azure-Spring-Apps-service-instance-name> \ --app-name identity-service \ --routes-file azure-spring-apps-enterprise/resources/json/routes/identity-service.json
Konfigurieren des einmaligen Anmeldens für Spring Cloud Gateway
Sie können Spring Cloud Gateway für die Authentifizierung von Anforderungen per einmaligem Anmelden konfigurieren. Führen Sie die folgenden Schritte aus, um Spring Cloud Gateway für die Verwendung des einmaligen Anmeldens zu konfigurieren:
Verwenden Sie die folgenden Befehle, um Spring Cloud Gateway für die Verwendung des einmaligen Anmeldens zu konfigurieren:
export GATEWAY_URL=$(az spring gateway show \ --resource-group <resource-group-name> \ --service <Azure-Spring-Apps-service-instance-name> | jq -r '.properties.url') az spring gateway update \ --resource-group <resource-group-name> \ --service <Azure-Spring-Apps-service-instance-name> \ --api-description "Fitness Store API" \ --api-title "Fitness Store" \ --api-version "v1.0" \ --server-url "https://${GATEWAY_URL}" \ --allowed-origins "*" \ --client-id <client-id> \ --client-secret <client-secret> \ --scope "openid,profile" \ --issuer-uri <issuer-uri>
Weisen Sie die Warenkorbdienstanwendung an, Spring Cloud Gateway für die Authentifizierung zu verwenden. Verwenden Sie den folgenden Befehl, um die erforderlichen Umgebungsvariablen bereitzustellen:
az spring app update \ --resource-group <resource-group-name> \ --name cart-service \ --service <Azure-Spring-Apps-service-instance-name> \ --env "AUTH_URL=https://${GATEWAY_URL}" "CART_PORT=8080"
Weisen Sie die Bestelldienstanwendung an, Spring Cloud Gateway für die Authentifizierung zu verwenden. Verwenden Sie den folgenden Befehl, um die erforderlichen Umgebungsvariablen bereitzustellen:
az spring app update \ --resource-group <resource-group-name> \ --name order-service \ --service <Azure-Spring-Apps-service-instance-name> \ --env "AcmeServiceSettings__AuthUrl=https://${GATEWAY_URL}"
Verwenden Sie den folgenden Befehl, um die URL für Spring Cloud Gateway abzurufen:
echo "https://${GATEWAY_URL}"
Sie können die Ausgabe-URL in einem Browser öffnen, um die aktualisierte Anwendung zu erkunden. Die Anmeldefunktion ist jetzt in Betrieb, sodass Sie dem Warenkorb Elemente hinzufügen und Bestellungen aufgeben können. Nachdem Sie sich angemeldet haben, zeigt die Schaltfläche „Kundeninformationen“ den Namen des angemeldeten Benutzers an.
Konfigurieren des einmaligen Anmeldens für das API-Portal
Sie können das API-Portal for VMware Tanzu so konfigurieren, dass einmaliges Anmelden verwendet wird, um eine Authentifizierung vor dem Erkunden von APIs anzufordern. Verwenden Sie die folgenden Befehle, um einmaliges Anmelden für das API-Portal zu konfigurieren:
export PORTAL_URL=$(az spring api-portal show \
--resource-group <resource-group-name> \
--service <Azure-Spring-Apps-service-instance-name> | jq -r '.properties.url')
az spring api-portal update \
--resource-group <resource-group-name> \
--service <Azure-Spring-Apps-service-instance-name> \
--client-id <client-id> \
--client-secret <client-secret> \
--scope "openid,profile,email" \
--issuer-uri <issuer-uri>
Verwenden Sie die folgenden Befehle, um die URL für das API-Portal abzurufen:
export PORTAL_URL=$(az spring api-portal show \
--resource-group <resource-group-name> \
--service <Azure-Spring-Apps-service-instance-name> | jq -r '.properties.url')
echo "https://${PORTAL_URL}"
Sie können die Ausgabe-URL in einem Browser öffnen, um die Anwendungs-APIs zu erkunden. Sie werden aufgefordert, sich anzumelden, bevor Sie die APIs erkunden können.
Bereinigen von Ressourcen
Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen. Wenn Sie die Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe. Dadurch werden die Ressourcen in der Ressourcengruppe gelöscht. Wenn Sie die Ressourcengruppe mithilfe der Azure CLI löschen möchten, verwenden Sie die folgenden Befehle:
echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."
Nächste Schritte
Fahren Sie mit einem der folgenden optionalen Schnellstarts fort: