Utiliser des identités managées pour les applications dans Azure Spring Apps
Remarque
Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce de mise hors service d’Azure Spring Apps.
Le plan de consommation standard et dédiée sera déconseillé à compter du 30 septembre 2024, avec un arrêt complet après six mois. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer le plan de consommation standard et dédiée Azure Spring Apps vers Azure Container Apps.
Cet article s’applique à :✅ Essentiel/Standard ✅ Entreprise
Cet article vous montre comment utiliser des identités managées affectées par le système et affectées par l’utilisateur pour les applications dans Azure Spring Apps.
Les identités managées pour les ressources Azure fournissent une identité automatiquement managée dans Microsoft Entra ID à une ressource Azure comme votre application dans Azure Spring Apps. Vous pouvez utiliser cette identité pour vous authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra, sans avoir d’informations d’identification dans votre code.
État de la fonctionnalité
Attribué par le système | Affecté par l’utilisateur |
---|---|
GA | GA |
Gérer l’identité managée pour une application
Pour les identités managées affectées par le système, consultez Comment activer et désactiver l’identité managée affectée par le système.
Pour les identités managées affectées par l’utilisateur, consultez Comment attribuer et supprimer les identités managées affectées par l’utilisateur.
Obtenir des jetons pour les ressources Azure
Une application peut utiliser son identité managée pour obtenir des jetons afin d’accéder à d’autres ressources protégées par Microsoft Entra ID, comme Azure Key Vault. Ces jetons représentent l'application qui accède à la ressource, et non un utilisateur spécifique de l'application.
Vous pouvez configurer la ressource cible pour autoriser l’accès à partir de votre application. Pour plus d’informations, consultez Attribuer à une identité managée l’accès à une ressource Azure ou à une autre ressource. Par exemple, si vous demandez un jeton pour accéder à Key Vault, vérifiez que vous avez ajouté une stratégie d’accès qui inclut l’identité de votre application. Si tel n’est pas le cas, vos appels au coffre de clés sont rejetés, même s’ils incluent le jeton. Pour en savoir plus sur les ressources qui prennent en charge les jetons Microsoft Entra, consultez Services Azure prenant en charge l’authentification Microsoft Entra.
Azure Spring Apps partage le même point de terminaison pour l’acquisition de jetons auprès de Machines virtuelles Microsoft Azure. Nous vous recommandons d’utiliser le SDK Java ou des instances Spring Boot Starters pour acquérir un jeton. Pour obtenir différents exemples de code et de script, et des conseils sur des sujets importants comme la gestion de l’expiration des jetons et des erreurs HTTP, consultez Comment utiliser les identités managées pour les ressources Azure sur une machine virtuelle Azure afin d’acquérir un jeton d’accès.
Exemples de connexion de services Azure dans le code d’application
Le tableau suivant fournit des liens vers des articles contenant des exemples :
Meilleures pratiques d’utilisation des identités managées
Nous vous recommandons vivement d’utiliser des identités managées affectées par le système et affectées par l’utilisateur séparément, sauf si vous avez un cas d’usage valide. Si vous utilisez les deux types d’identité managée ensemble, l’échec peut se produire si une application utilise une identité managée affectée par le système et que l’application obtient le jeton sans spécifier l’ID client de cette identité. Ce scénario peut fonctionner correctement jusqu’à ce qu’une ou plusieurs identités managées affectées par l’utilisateur soient attribuées à cette application, puis l’application peut ne pas obtenir le jeton approprié.
Limites
Nombre maximal d’identités managées affectées par l’utilisateur par application
Pour obtenir le nombre maximal d’identités managées affectées par l’utilisateur par application, consultez Quotas et plans de service pour Azure Spring Apps.
Mappage de concepts
Le tableau suivant montre les mappages entre les concepts de l’étendue d’identité managée et de l’étendue Microsoft Entra :
Étendue de Managed Identity | Étendue Microsoft Entra |
---|---|
ID du principal | ID de l'objet |
ID client | ID de l’application |