Udostępnij za pośrednictwem

Używanie tożsamości zarządzanych dla aplikacji w usłudze Azure Spring Apps

  • Artykuł

Uwaga

Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.

Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.

Ten artykuł dotyczy: ✔️ Podstawowa/Standardowa ✔️ Enterprise

W tym artykule pokazano, jak używać tożsamości zarządzanych przypisanych przez system i przypisanych przez użytkownika dla aplikacji w usłudze Azure Spring Apps.

Tożsamości zarządzane dla zasobów platformy Azure zapewniają automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID do zasobu platformy Azure, takiego jak aplikacja w usłudze Azure Spring Apps. Za pomocą tej tożsamości można uwierzytelnić się w dowolnej usłudze obsługującej uwierzytelnianie usługi Microsoft Entra bez konieczności przechowywania poświadczeń w kodzie.

Stan funkcji

Przypisane przez system Przypisane przez użytkownika
Ogólna dostępność Ogólna dostępność

Zarządzanie tożsamością zarządzaną dla aplikacji

W przypadku tożsamości zarządzanych przypisanych przez system zobacz Jak włączyć i wyłączyć tożsamość zarządzaną przypisaną przez system.

W przypadku tożsamości zarządzanych przypisanych przez użytkownika zobacz Jak przypisywać i usuwać tożsamości zarządzane przypisane przez użytkownika.

Uzyskiwanie tokenów dla zasobów platformy Azure

Aplikacja może użyć swojej tożsamości zarządzanej, aby uzyskać tokeny w celu uzyskania dostępu do innych zasobów chronionych przez identyfikator Entra firmy Microsoft, takich jak usługa Azure Key Vault. Te tokeny reprezentują aplikację, która uzyskuje dostęp do zasobu, a nie żadnego konkretnego użytkownika aplikacji.

Zasób docelowy można skonfigurować tak, aby umożliwić dostęp z aplikacji. Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu tożsamości zarządzanej do zasobu platformy Azure lub innego zasobu. Jeśli na przykład zażądasz tokenu dostępu do usługi Key Vault, upewnij się, że dodano zasady dostępu zawierające tożsamość aplikacji. W przeciwnym razie wywołania usługi Key Vault zostaną odrzucone, nawet jeśli zawierają token. Aby dowiedzieć się więcej o zasobach obsługujących tokeny firmy Microsoft Entra, zobacz Usługi platformy Azure, które obsługują uwierzytelnianie Firmy Microsoft Entra.

Usługa Azure Spring Apps udostępnia ten sam punkt końcowy na potrzeby pozyskiwania tokenów za pomocą usługi Azure Virtual Machines. W celu uzyskania tokenu zalecamy użycie zestawu SDK języka Java lub szablonów startowych Spring Boot. Aby zapoznać się z różnymi przykładami kodu i skryptów, a także wskazówkami dotyczącymi ważnych tematów, takich jak obsługa wygasania tokenów i błędów HTTP, zobacz How to use managed identities for Azure resources on an Azure VM to acquire an access token (Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu).

Przykłady łączenia usług platformy Azure w kodzie aplikacji

Poniższa tabela zawiera linki do artykułów zawierających przykłady:

Usługa platformy Azure samouczek
Key Vault Samouczek: łączenie usługi Key Vault z aplikacją Azure Spring Apps przy użyciu tożsamości zarządzanej
Azure Functions Samouczek: wywoływanie usługi Azure Functions z aplikacji Azure Spring Apps przy użyciu tożsamości zarządzanej
Azure SQL Łączenie usługi Azure SQL Database z aplikacją Azure Spring Apps przy użyciu tożsamości zarządzanej

Najlepsze rozwiązania dotyczące korzystania z tożsamości zarządzanych

Zdecydowanie zalecamy używanie tożsamości zarządzanych przypisanych przez system i przypisanych przez użytkownika oddzielnie, chyba że masz prawidłowy przypadek użycia. Jeśli używasz obu rodzajów tożsamości zarządzanej razem, błąd może wystąpić, jeśli aplikacja korzysta z tożsamości zarządzanej przypisanej przez system, a aplikacja pobiera token bez określania identyfikatora klienta tej tożsamości. Ten scenariusz może działać prawidłowo, dopóki co najmniej jedna tożsamość zarządzana przypisana przez użytkownika nie zostanie przypisana do tej aplikacji, a następnie aplikacja może nie uzyskać poprawnego tokenu.

Ograniczenia

Maksymalna liczba tożsamości zarządzanych przypisanych przez użytkownika na aplikację

Aby uzyskać maksymalną liczbę tożsamości zarządzanych przypisanych przez użytkownika na aplikację, zobacz Przydziały i plany usług dla usługi Azure Spring Apps.

Mapowanie koncepcji

W poniższej tabeli przedstawiono mapowania między pojęciami w zakresie tożsamości zarządzanej i zakresem firmy Microsoft Entra:

Zakres tożsamości zarządzanej Zakres firmy Microsoft
Identyfikator podmiotu zabezpieczeń Identyfikator obiektu
Client ID Application ID

Następne kroki