Administración de identidades administradas asignadas por el usuario para una aplicación en Azure Spring Apps

Nota:

Los planes de Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de retiro de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte el anuncio de retirada de Azure Spring Apps.

El plan de consumo estándar y dedicado quedará obsoleto a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte Migrar el plan de consumo y dedicado Azure Spring Apps Standard a Azure Container Apps.

Este artículo se aplica a:✅ Básico/Estándar ✅ Enterprise

En este artículo, se muestra cómo asignar y quitar las identidades administradas asignadas por el usuario para una aplicación de Azure Spring Apps mediante Azure Portal y la CLI de Azure.

Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente en Microsoft Entra ID a un recurso de Azure, como la aplicación en Azure Spring Apps. Puede usar esta identidad para autenticar a cualquier servicio que admita la autenticación de Microsoft Entra, sin necesidad de tener credenciales en el código.

Requisitos previos

• Si no está familiarizado con las identidades administradas para los recursos de Azure, consulte ¿Qué son las identidades administradas para recursos de Azure?

• Una instancia de plan de Azure Spring Apps Enterprise ya aprovisionada. Para más información, consulte Inicio rápido: Compilación e implementación de aplicaciones en Azure Spring Apps con el plan Enterprise.
• CLI de Azure: versión 2.45.0 o superior.
• La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar las versiones anteriores e instalar la extensión más reciente:

  az extension remove --name spring
  az extension add --name spring
  

• Al menos una identidad administrada asignada por el usuario ya aprovisionada. Para obtener más información, consulte Administración de identidades administradas asignadas por el usuario.

• Una instancia de Azure Spring Apps ya aprovisionada. Para más información, consulte Inicio rápido: implementación de la primera aplicación en Azure Spring Apps.
• CLI de Azure: versión 2.45.0 o superior.
• La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar las versiones anteriores e instalar la extensión más reciente:

  az extension remove --name spring
  az extension add --name spring
  

• Al menos una identidad administrada asignada por el usuario ya aprovisionada. Para obtener más información, consulte Administración de identidades administradas asignadas por el usuario.

Asignación de identidades administradas asignadas por el usuario al crear una aplicación

Cree una aplicación y asigne una identidad administrada asignada por el usuario al mismo tiempo mediante el comando siguiente:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Asignación de identidades administradas asignadas por el usuario a una aplicación existente

La asignación de identidades administradas asignadas por el usuario requiere establecer otra propiedad en la aplicación.

Azure Portal

Para asignar una identidad administrada asignada por el usuario a una aplicación existente en el Azure Portal, siga estos pasos:

1. Vaya a una aplicación en el Azure Portal como lo haría normalmente.
2. Desplácese hacia abajo hasta el grupo Configuración en el panel de navegación izquierdo.
3. Seleccione Identidad.
4. Dentro de la pestaña Usuario asignado, seleccione Agregar.
5. Elija una o varias identidades administradas asignadas por el usuario en el panel derecho y luego seleccione Agregar en este panel.

CLI de Azure

Use el comando siguiente para asignar una o varias identidades administradas asignadas por el usuario en una aplicación existente:

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Obtención de tokens para recursos de Azure

Una aplicación puede usar su identidad administrada para obtener tokens para acceder a otros recursos protegidos por Microsoft Entra ID, como Azure Key Vault. Estos tokens representan a la aplicación que accede al recurso, no a un usuario específico de la aplicación.

Es posible que tenga que configurar el recurso de destino para habilitar el acceso desde la aplicación. Para más información, consulte Asignación de un acceso de identidad administrada a un recurso de Azure u otro recurso. Por ejemplo, si se solicita un token para acceder a Key Vault, asegúrese de haber agregado una directiva de acceso que incluya la identidad de la aplicación. De lo contrario, las llamadas a Key Vault se rechazan, incluso si incluyen el token. Para obtener más información sobre los recursos que admiten tokens de Microsoft Entra, consulte Servicios de Azure que admiten autenticación de Microsoft Entra

Azure Spring Apps y las máquinas virtuales de Azure comparten el mismo punto de conexión para la adquisición de tokens. Se recomienda usar el SDK de Java o iniciadores de Spring Boot para adquirir un token. Para obtener varios ejemplos de código y script e instrucciones sobre temas importantes, como el control de la expiración de tokens y los errores HTTP, consulte Uso de identidades administradas para recursos de Azure en una máquina virtual de Azure para adquirir un token de acceso.

Eliminación de identidades administradas asignadas por el usuario de una aplicación existente

Al quitar las identidades administradas asignadas por el usuario, se quita la asignación entre las identidades y la aplicación, y no se eliminan las identidades por sí mismas.

Azure Portal

Para quitar identidades administradas asignadas por el usuario de una aplicación que ya no la necesita, siga estos pasos:

1. Inicie sesión en Azure Portal con una cuenta asociada a la suscripción a Azure que contiene la instancia de Azure Spring Apps.
2. Vaya a la aplicación que desee y seleccione Identidad.
3. En Asignado por el usuario, seleccione identidades de destino y luegoQuitar.

CLI de Azure

Para quitar identidades administradas asignadas por el usuario de una aplicación que ya no la necesita, utilice el comando siguiente:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

Limitaciones

Para ver las limitaciones de identidad administrada asignadas por el usuario, consulte Cuotas y planes de servicio para Azure Spring Apps.

Pasos siguientes

• ¿Qué son las identidades administradas de recursos de Azure?
• Cómo usar identidades administradas con el SDK de Java