Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika dla aplikacji w usłudze Azure Spring Apps

Uwaga

Plany Basic, Standardi Enterprise weszły w okres wycofywania 17 marca 2025 r. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.

Plan dotyczący zużycia standardowego oraz dedykowany plan zostały wycofane 30 września 2024 r., z całkowitym zamknięciem do końca marca 2025 r. Aby uzyskać więcej informacji, zobacz Migrowanie planu konsumpcyjnego i dedykowanego usługi Azure Spring Apps w warstwie Standardowa do usługi Azure Container Apps.

Ten artykuł dotyczy:✅ Podstawowa/Standardowa ✅ Enterprise

W tym artykule przedstawiono sposób przypisywania lub usuwania tożsamości zarządzanych przypisanych przez użytkownika dla aplikacji w usłudze Azure Spring Apps przy użyciu portalu Azure i Azure CLI.

Tożsamości zarządzane dla zasobów platformy Azure zapewniają automatycznie zarządzaną tożsamość w Microsoft Entra ID dla zasobów platformy Azure, takich jak aplikacja w Azure Spring Apps. Za pomocą tej tożsamości można uwierzytelnić się w dowolnej usłudze obsługującej uwierzytelnianie usługi Microsoft Entra bez konieczności przechowywania poświadczeń w kodzie.

Wymagania wstępne

• Jeśli nie znasz tożsamości zarządzanych dla zasobów platformy Azure, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?

• Już skonfigurowane wystąpienie planu Usługi Azure Spring Apps Enterprise. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie i wdrażanie aplikacji w usłudze Azure Spring Apps przy użyciu planu Enterprise.
• Interfejs wiersza polecenia platformy Azure w wersji 2.45.0 lub nowszej.
• Rozszerzenie Azure Spring Apps dla interfejsu wiersza polecenia platformy Azure obsługuje tożsamość zarządzaną przypisaną przez użytkownika aplikacji w wersji 1.0.0 lub nowszej. Użyj następującego polecenia, aby usunąć poprzednie wersje i zainstalować najnowsze rozszerzenie:

  az extension remove --name spring
  az extension add --name spring
  

• Co najmniej jedna tożsamość zarządzana przypisana przez użytkownika, która została już skonfigurowana. Aby uzyskać więcej informacji, zobacz Zarządzanie zarządzanymi tożsamościami przypisanymi przez użytkownika.

• Już skonfigurowane wystąpienie usługi Azure Spring Apps. Aby uzyskać więcej informacji, zobacz Szybki start: wdrażanie pierwszej aplikacji w usłudze Azure Spring Apps.
• Interfejs wiersza polecenia platformy Azure w wersji 2.45.0 lub nowszej.
• Rozszerzenie Azure Spring Apps dla interfejsu wiersza polecenia platformy Azure obsługuje tożsamość zarządzaną przypisaną przez użytkownika aplikacji w wersji 1.0.0 lub nowszej. Użyj następującego polecenia, aby usunąć poprzednie wersje i zainstalować najnowsze rozszerzenie:

  az extension remove --name spring
  az extension add --name spring
  

• Co najmniej jedna aprowizowana tożsamość zarządzana przypisana przez użytkownika. Aby uzyskać więcej informacji, zobacz Zarządzanie zarządzanymi tożsamościami przypisanymi użytkownikowi.

Przypisywanie zarządzanych tożsamości przypisanych przez użytkownika podczas tworzenia aplikacji

Utwórz aplikację i przypisz tożsamość zarządzaną przypisaną przez użytkownika w tym samym czasie przy użyciu następującego polecenia:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Przypisywanie tożsamości zarządzanych przypisanych przez użytkownika do istniejącej aplikacji

Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika wymaga ustawienia innej właściwości w aplikacji.

Portal Azure

Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do istniejącej aplikacji w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do aplikacji w witrynie Azure Portal, tak jak zwykle.
2. Przewiń w dół do grupy Ustawienia w okienku nawigacji po lewej stronie.
3. Wybierz Tożsamość.
4. Na karcie Przypisane użytkownikowi wybierz pozycję Dodaj.
5. Wybierz jedną lub więcej tożsamości zarządzanych przypisanych przez użytkownika z prawego panelu, a następnie wybierz Dodaj z tego panelu.

Azure CLI

Użyj następującego polecenia, aby przypisać co najmniej jedną tożsamość zarządzaną przypisaną przez użytkownika do istniejącej aplikacji:

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Uzyskiwanie tokenów dla zasobów platformy Azure

Aplikacja może użyć swojej tożsamości zarządzanej, aby uzyskać tokeny w celu uzyskania dostępu do innych zasobów chronionych przez identyfikator Entra firmy Microsoft, takich jak usługa Azure Key Vault. Te tokeny reprezentują aplikację, która uzyskuje dostęp do zasobu, a nie żadnego konkretnego użytkownika aplikacji.

Może być konieczne skonfigurowanie zasobu docelowego w celu włączenia dostępu z aplikacji. Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu tożsamości zarządzanej do zasobu platformy Azure lub innego zasobu. Jeśli na przykład zażądasz tokenu dostępu do usługi Key Vault, upewnij się, że dodano zasady dostępu, które obejmują tożsamość aplikacji. W przeciwnym razie wywołania do Key Vault są odrzucane, nawet jeśli zawierają token. Aby dowiedzieć się więcej o zasobach obsługujących tokeny firmy Microsoft Entra, zobacz Usługi platformy Azure, które obsługują uwierzytelnianie firmy Microsoft Entra

Usługa Azure Spring Apps udostępnia ten sam punkt końcowy na potrzeby pozyskiwania tokenów za pomocą usługi Azure Virtual Machines. W celu uzyskania tokenu zalecamy użycie Java SDK lub starterów Spring Boot. Aby zapoznać się z różnymi przykładami kodu i skryptów oraz wskazówkami dotyczącymi ważnych tematów, takich jak obsługa wygasania tokenów i błędów HTTP, zobacz How to use managed identities for Azure resources on an Azure VM to acquire an access token (Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu).

Usuwanie zarządzanych tożsamości przypisanych użytkownikowi z istniejącej aplikacji

Usunięcie tożsamości zarządzanych przypisanych przez użytkownika powoduje usunięcie przypisania między tożsamościami a aplikacją i nie powoduje usunięcia samych tożsamości.

Portal Azure

Aby usunąć tożsamości zarządzane przypisane przez użytkownika z aplikacji, która nie jest już jej potrzebna, wykonaj następujące kroki:

1. Zaloguj się do witryny Azure Portal przy użyciu konta skojarzonego z subskrypcją platformy Azure, która zawiera wystąpienie usługi Azure Spring Apps.
2. Przejdź do żądanej aplikacji i wybierz pozycję Tożsamość.
3. W obszarze Przypisane użytkownikowi wybierz docelowe tożsamości, a następnie wybierz Usuń.

Azure CLI

Aby usunąć tożsamości zarządzane przypisane przez użytkownika z aplikacji, która nie jest już jej potrzebna, użyj następującego polecenia:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

Ograniczenia

Aby uzyskać informacje o ograniczeniach tożsamości zarządzanej przypisanej przez użytkownika, zobacz Limity przydziału i plany usług dla usługi Azure Spring Apps.

Następne kroki

• Co to są tożsamości zarządzane dla zasobów platformy Azure?
• Jak używać tożsamości zarządzanych z zestawem Java SDK