Compartir a través de


Uso de identidades administradas para aplicaciones en Azure Spring Apps

Nota:

Los planes de Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de retiro de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte el anuncio de retirada de Azure Spring Apps.

El plan de consumo estándar y dedicado quedará obsoleto a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte Migrar el plan de consumo y dedicado Azure Spring Apps Standard a Azure Container Apps.

Este artículo se aplica a:✅ Básico/Estándar ✅ Enterprise

En este artículo se muestra cómo usar las identidades administradas asignadas por el sistema y asignadas por el usuario para aplicaciones en Azure Spring Apps.

Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente en Microsoft Entra ID a un recurso de Azure, como la aplicación en Azure Spring Apps. Puede usar esta identidad para autenticar a cualquier servicio que admita la autenticación de Microsoft Entra, sin necesidad de tener credenciales en el código.

Estado de la característica

Asignada por el sistema Asignada por el usuario
Disponibilidad general GA

Administración de la identidad administrada para una aplicación

En el caso de las identidades administradas asignadas por el sistema, consulte Habilitación y deshabilitación de la identidad administrada asignada por el sistema.

Para las identidades administradas asignadas por el usuario, consulte Asignación y eliminación de identidades administradas asignadas por el usuario.

Obtención de tokens para recursos de Azure

Una aplicación puede usar su identidad administrada para obtener tokens para acceder a otros recursos protegidos por Microsoft Entra ID, como Azure Key Vault. Estos tokens representan a la aplicación que accede al recurso, no a un usuario específico de la aplicación.

Puede configurar el recurso de destino para habilitar el acceso desde la aplicación. Para más información, consulte Asignación de un acceso de identidad administrada a un recurso de Azure u otro recurso. Por ejemplo, si se solicita un token para acceder a Key Vault, asegúrese de haber agregado una directiva de acceso que incluya la identidad de la aplicación. De lo contrario, las llamadas a Key Vault se rechazarán, incluso si incluyen el token. Para obtener más información sobre los recursos que admiten tokens de Microsoft Entra, consulte Servicios de Azure que admiten autenticación de Microsoft Entra.

Azure Spring Apps y las máquinas virtuales de Azure comparten el mismo punto de conexión para la adquisición de tokens. Se recomienda usar el SDK de Java o iniciadores de Spring Boot para adquirir un token. Para ver varios ejemplos de código y script, así como instrucciones sobre temas importantes, como controlar la expiración de tokens y los errores HTTP, consulte Uso de identidades administradas para recursos de Azure en una máquina virtual de Azure para adquirir un token de acceso.

Ejemplos de conexión de servicios de Azure en el código de la aplicación

En la tabla siguiente se proporcionan vínculos a artículos que contienen ejemplos:

Servicio de Azure tutorial
Key Vault Tutorial: Uso de una identidad administrada para conectar Key Vault a una aplicación de Azure Spring Apps
Funciones de Azure Tutorial: Uso de una identidad administrada para invocar Azure Functions desde una aplicación de Azure Spring Apps
Azure SQL Uso de una identidad administrada para conectar Azure SQL Database a una aplicación de Azure Spring Apps

Procedimientos recomendados al usar identidades administradas

Se recomienda encarecidamente usar las identidades administradas asignadas por el sistema y las asignadas por el usuario por separado, a menos que tenga un caso de uso válido. Si usa ambos tipos de identidad administrada juntos, puede producirse un error si una aplicación usa una identidad administrada asignada por el sistema y la aplicación obtiene el token sin especificar el id. de cliente de esa identidad. Este escenario puede funcionar correctamente hasta que se asignen una o varias identidades administradas asignadas por el usuario a esa aplicación, es posible que la aplicación no obtenga el token correcto.

Limitaciones

Número máximo de identidades administradas asignadas por el usuario por aplicación

Para obtener el número máximo de identidades administradas asignadas por usuario por aplicación, consulte Cuotas y planes de servicio para Azure Spring Apps.


Asignación de conceptos

En la tabla siguiente se muestran las asignaciones entre conceptos en el ámbito de identidad administrada y el ámbito de Microsoft Entra:

Ámbito de la identidad administrada Ámbito de Microsoft Entra
Identificador de entidad de seguridad Id. de objeto
Id. de cliente Id. de solicitud

Pasos siguientes