Udostępnij za pośrednictwem


Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika dla aplikacji w usłudze Azure Spring Apps

Uwaga

Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.

Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.

Ten artykuł dotyczy:✅ Podstawowa/Standardowa ✅ Enterprise

W tym artykule przedstawiono sposób przypisywania lub usuwania tożsamości zarządzanych przypisanych przez użytkownika dla aplikacji w usłudze Azure Spring Apps przy użyciu witryny Azure Portal i interfejsu wiersza polecenia platformy Azure.

Tożsamości zarządzane dla zasobów platformy Azure zapewniają automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID do zasobu platformy Azure, takiego jak aplikacja w usłudze Azure Spring Apps. Za pomocą tej tożsamości można uwierzytelnić się w dowolnej usłudze obsługującej uwierzytelnianie usługi Microsoft Entra bez konieczności przechowywania poświadczeń w kodzie.

Wymagania wstępne

Przypisywanie tożsamości zarządzanych przypisanych przez użytkownika podczas tworzenia aplikacji

Utwórz aplikację i przypisz tożsamość zarządzaną przypisaną przez użytkownika w tym samym czasie przy użyciu następującego polecenia:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Przypisywanie tożsamości zarządzanych przypisanych przez użytkownika do istniejącej aplikacji

Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika wymaga ustawienia innej właściwości w aplikacji.

Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do istniejącej aplikacji w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do aplikacji w witrynie Azure Portal, tak jak zwykle.
  2. Przewiń w dół do grupy Ustawienia w okienku nawigacji po lewej stronie.
  3. Wybierz Tożsamość.
  4. Na karcie Przypisane przez użytkownika wybierz pozycję Dodaj.
  5. Wybierz co najmniej jedną tożsamość zarządzaną przypisaną przez użytkownika z panelu po prawej stronie, a następnie wybierz pozycję Dodaj z tego panelu.

Uzyskiwanie tokenów dla zasobów platformy Azure

Aplikacja może użyć swojej tożsamości zarządzanej, aby uzyskać tokeny w celu uzyskania dostępu do innych zasobów chronionych przez identyfikator Entra firmy Microsoft, takich jak usługa Azure Key Vault. Te tokeny reprezentują aplikację, która uzyskuje dostęp do zasobu, a nie żadnego konkretnego użytkownika aplikacji.

Może być konieczne skonfigurowanie zasobu docelowego w celu włączenia dostępu z aplikacji. Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu tożsamości zarządzanej do zasobu platformy Azure lub innego zasobu. Jeśli na przykład zażądasz tokenu dostępu do usługi Key Vault, upewnij się, że dodano zasady dostępu, które obejmują tożsamość aplikacji. W przeciwnym razie wywołania usługi Key Vault są odrzucane, nawet jeśli zawierają token. Aby dowiedzieć się więcej o zasobach obsługujących tokeny firmy Microsoft Entra, zobacz Usługi platformy Azure, które obsługują uwierzytelnianie firmy Microsoft Entra

Usługa Azure Spring Apps udostępnia ten sam punkt końcowy na potrzeby pozyskiwania tokenów za pomocą usługi Azure Virtual Machines. W celu uzyskania tokenu zalecamy użycie zestawu SDK języka Java lub szablonów startowych Spring Boot. Aby zapoznać się z różnymi przykładami kodu i skryptów oraz wskazówkami dotyczącymi ważnych tematów, takich jak obsługa wygasania tokenów i błędów HTTP, zobacz How to use managed identities for Azure resources on an Azure VM to acquire an access token (Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu).

Usuwanie tożsamości zarządzanych przypisanych przez użytkownika z istniejącej aplikacji

Usunięcie tożsamości zarządzanych przypisanych przez użytkownika powoduje usunięcie przypisania między tożsamościami a aplikacją i nie powoduje usunięcia samych tożsamości.

Aby usunąć tożsamości zarządzane przypisane przez użytkownika z aplikacji, która nie jest już jej potrzebna, wykonaj następujące kroki:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta skojarzonego z subskrypcją platformy Azure, która zawiera wystąpienie usługi Azure Spring Apps.
  2. Przejdź do żądanej aplikacji i wybierz pozycję Tożsamość.
  3. W obszarze Przypisane przez użytkownika wybierz pozycję tożsamości docelowe, a następnie wybierz pozycję Usuń.

Ograniczenia

Aby uzyskać informacje o ograniczeniach tożsamości zarządzanej przypisanej przez użytkownika, zobacz Limity przydziału i plany usług dla usługi Azure Spring Apps.

Następne kroki