Compartir a través de


Habilitación de la identidad administrada asignada por el sistema para una aplicación de Azure Spring Apps

Nota:

Los planes de Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de retiro de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte el anuncio de retirada de Azure Spring Apps.

El plan de consumo estándar y dedicado quedará obsoleto a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte Migrar el plan de consumo y dedicado Azure Spring Apps Standard a Azure Container Apps.

Este artículo se aplica a: Enterprise ✅ Básico/Estándar ✅

En este artículo se muestra cómo habilitar y deshabilitar las identidades administradas asignadas por el sistema para una aplicación de Azure Spring Apps mediante Azure Portal y la CLI.

Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente en Microsoft Entra ID a un recurso de Azure, como la aplicación en Azure Spring Apps. Puede usar esta identidad para autenticar a cualquier servicio que admita la autenticación de Microsoft Entra, sin necesidad de tener credenciales en el código.

Requisitos previos

Si no está familiarizado con las identidades administradas para los recursos de Azure, consulte ¿Qué son las identidades administradas para recursos de Azure?

  • Una instancia de Azure Spring Apps ya aprovisionada. Para más información, consulte Inicio rápido: implementación de la primera aplicación en Azure Spring Apps.
  • CLI de Azure: versión 2.45.0 o superior.
  • La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar las versiones anteriores e instalar la extensión más reciente:
    az extension remove --name spring
    az extension add --name spring
    

Adición de una identidad asignada por el sistema

Para crear una aplicación con una identidad asignada por el sistema es necesario configurar otra propiedad en la aplicación.

Para configurar una identidad administrada en el portal, primero cree una aplicación y luego habilite la característica.

  1. Cree una aplicación en el portal como lo haría normalmente. Navegue hasta el portal.
  2. Desplácese hacia abajo hasta el grupo Configuración en el panel de navegación izquierdo.
  3. Seleccione Identidad.
  4. En la pestaña Asignado por el sistema, cambie Estado a Activado. Seleccione Guardar.

Obtención de tokens para recursos de Azure

Una aplicación puede usar su identidad administrada para obtener tokens para acceder a otros recursos protegidos por Microsoft Entra ID, como Azure Key Vault. Estos tokens representan a la aplicación que accede al recurso, no a un usuario específico de la aplicación.

Es posible que tenga que configurar el recurso de destino para habilitar el acceso desde la aplicación. Para más información, consulte Asignación de un acceso de identidad administrada a un recurso de Azure u otro recurso. Por ejemplo, si se solicita un token para acceder a Key Vault, asegúrese de haber agregado una directiva de acceso que incluya la identidad de la aplicación. De lo contrario, las llamadas a Key Vault se rechazan, incluso si incluyen el token. Para obtener más información sobre los recursos que admiten tokens de Microsoft Entra, consulte Servicios de Azure que pueden usar identidades administradas para acceder a otros servicios.

Azure Spring Apps y la máquina virtual de Azure comparten el mismo punto de conexión para la adquisición de tokens. Se recomienda usar el SDK de Java o el iniciador de Spring Boot para adquirir un token. Para obtener varios ejemplos de código y script e instrucciones sobre temas importantes, como el control de la expiración de tokens y los errores HTTP, consulte Uso de identidades administradas para recursos de Azure en una máquina virtual de Azure para adquirir un token de acceso.

Deshabilitación de una identidad asignada por el sistema desde una aplicación

Al quitar una identidad asignada por el sistema también se elimina de Microsoft Entra ID. Cuando se elimina el recurso de la aplicación, las identidades asignadas por el sistema se quitan automáticamente de Microsoft Entra ID.

Siga estos pasos para quitar la identidad administrada asignada por el sistema de una aplicación que ya no la necesite:

  1. Inicie sesión en el portal con una cuenta asociada a la suscripción a Azure que contiene la instancia de Azure Spring Apps.
  2. Vaya a la aplicación que desee y seleccione Identidad.
  3. En Asignado por el sistema/Estado, seleccione Desactivado y después Guardar:

Obtención del identificador de cliente a partir del identificador de objeto (id. de la entidad de seguridad)

Use el siguiente comando para obtener el identificador de cliente del valor de id. de objeto o de entidad de seguridad:

az ad sp show --id <object-ID> --query appId

Pasos siguientes