Gérer les identités managées affectées par l’utilisateur pour une application dans Azure Spring Apps

Remarque

Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce de mise hors service d’Azure Spring Apps.

Le plan de consommation standard et dédiée sera déconseillé à compter du 30 septembre 2024, avec un arrêt complet après six mois. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer le plan de consommation standard et dédiée Azure Spring Apps vers Azure Container Apps.

Cet article s’applique à :✅ Essentiel/Standard ✅ Entreprise

Cet article explique comment affecter et désaffecter des identités managées affectées par le système pour une application dans Azure Spring Apps, à l’aide du portail Azure et d’Azure CLI.

Les identités managées pour les ressources Azure fournissent une identité managée automatiquement dans Microsoft Entra ID à une ressource Azure telle que votre application dans Azure Spring Apps. Vous pouvez utiliser cette identité pour vous authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra, sans avoir d’informations d’identification dans votre code.

Prérequis

• Si vous ne connaissez pas les identités managées pour les ressources Azure, consultez Qu’est-ce que les identités managées pour les ressources Azure ?

• Une instance de plan Azure Spring Apps Entreprise déjà approvisionnée. Pour plus d’informations, consultez Démarrage rapide : Générer et déployer des applications sur Azure Spring Apps à l’aide du plan Enterprise.
• Azure CLI version 2.45.0 ou ultérieure.
• L’extension Azure Spring Apps pour Azure CLI prend en charge l’identité managée affectée par l’utilisateur avec la version 1.0.0 ou ultérieure. Utilisez la commande suivante pour supprimer les versions précédentes et installer l’extension la plus récente :

  az extension remove --name spring
  az extension add --name spring
  

• Au moins une identité managée affectée par l’utilisateur a déjà été provisionnée. Pour plus d’informations, consultez Gérer les identités managées affectées par l’utilisateur.

• Une instance Azure Spring Apps déjà provisionnée. Pour plus d’informations, consultez Démarrage rapide : Déployer votre première application sur Azure Spring Apps.
• Azure CLI version 2.45.0 ou ultérieure.
• L’extension Azure Spring Apps pour Azure CLI prend en charge l’identité managée affectée par l’utilisateur avec la version 1.0.0 ou ultérieure. Utilisez la commande suivante pour supprimer les versions précédentes et installer l’extension la plus récente :

  az extension remove --name spring
  az extension add --name spring
  

• Au moins une identité managée affectée par l’utilisateur a déjà été provisionnée. Pour plus d’informations, consultez Gérer les identités managées affectées par l’utilisateur.

Affecter des identités managées affectées par l’utilisateur lors de la création d’une application

Créez une application et attribuez-lui une identité managée affectée par l’utilisateur en même temps à l’aide de la commande suivante :

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Affecter des identités managées affectées par l’utilisateur à une application existante

L’attribution d’une identité managée affectée par l’utilisateur nécessite la définition d’une autre propriété sur l’application.

Azure portal

Pour affecter une identité managée affectée par l’utilisateur à une application existante dans le portail Azure, procédez comme suit :

1. Accédez à une application dans le portail Azure comme vous le feriez normalement.
2. Faites défiler l'écran jusqu'au groupe Paramètres dans le volet de navigation gauche.
3. Sélectionnez Identité.
4. Dans l’onglet Affecté(e) par l’utilisateur, sélectionnez Ajouter.
5. Choisissez une ou plusieurs identités managées affectées par l’utilisateur dans le volet droit, puis sélectionnez Ajouter dans ce panneau.

Azure CLI

Utilisez la commande suivante pour affecter une ou plusieurs identités managées affectées par l’utilisateur à une application existante :

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Obtenir des jetons pour les ressources Azure

Une application peut utiliser son identité managée pour obtenir des jetons afin d’accéder à d’autres ressources protégées par Microsoft Entra ID, comme Azure Key Vault. Ces jetons représentent l'application qui accède à la ressource, et non un utilisateur spécifique de l'application.

Vous devrez peut-être configurer la ressource cible pour activer l’accès à partir de votre application. Pour plus d’informations, consultez Attribuer à une identité managée l’accès à une ressource Azure ou à une autre ressource. Par exemple, si vous demandez un jeton pour accéder à Key Vault, veillez à ajouter une stratégie d’accès qui inclut l’identité de votre application. Sinon, vos appels à Key Vault sont rejetés, même s’ils incluent le jeton. Pour en savoir plus sur les ressources qui prennent en charge les jetons Microsoft Entra, consultez Services Azure qui prennent en charge l’authentification Microsoft Entra

Azure Spring Apps partage le même point de terminaison pour l’acquisition de jetons auprès de Machines virtuelles Microsoft Azure. Nous vous recommandons d’utiliser le SDK Java ou des instances Spring Boot Starters pour acquérir un jeton. Pour obtenir différents exemples de code et de script, ainsi que des conseils sur des sujets importants tels que la gestion de l’expiration des jetons et des erreurs HTTP, consultez Comment utiliser des identités managées pour les ressources Azure sur une machine virtuelle Azure afin d’acquérir un jeton d’accès.

Supprimer les identités managées affectées par l’utilisateur d’une application existante

La suppression des identités managées affectées par l’utilisateur supprime l’affectation entre les identités et l’application, et ne supprime pas les identités elles-mêmes.

Azure portal

Pour supprimer les identités managées affectées par l’utilisateur d’une application qui n’en a plus besoin, procédez comme suit :

1. Connectez-vous au portail Azure à l'aide d'un compte associé à l'abonnement Azure qui contient l'instance d'Azure Spring Apps.
2. Accédez à l’application souhaitée et sélectionnez Identité.
3. Sous Utilisateur affecté, sélectionnez les identités cibles, puis Supprimer.

Azure CLI

Pour supprimer les identités managées affectées par l’utilisateur d’une application qui n’en a plus besoin, utilisez la commande suivante :

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

Limites

Pour connaître les limitations des identités managées affectées par l’utilisateur, consultez Quotas et plans de service pour Azure Spring Apps.

Étapes suivantes

• Que sont les identités managées pour les ressources Azure ?
• Utiliser des identités managées avec le kit de développement logiciel (SDK) Java