Włączanie tożsamości zarządzanej przypisanej przez system dla aplikacji w usłudze Azure Spring Apps
Uwaga
Plany Basic, Standardi Enterprise weszły w okres wycofywania 17 marca 2025 r. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.
Plan dotyczący zużycia standardowego oraz dedykowany plan zostały wycofane 30 września 2024 r., z całkowitym zamknięciem do końca marca 2025 r. Aby uzyskać więcej informacji, zobacz Migrowanie planu Standard i dedykowanego planu aplikacji Azure Spring Apps do usługi Azure Container Apps.
Ten artykuł dotyczy:✅ Podstawowa/Standardowa ✅ Enterprise
W tym artykule przedstawiono sposób włączania i wyłączania tożsamości zarządzanych przypisanych przez system dla aplikacji w usłudze Azure Spring Apps za pomocą Azure Portal i Azure CLI.
Tożsamości zarządzane dla zasobów platformy Azure zapewniają automatycznie zarządzaną tożsamość w Microsoft Entra ID dla zasobu platformy Azure, takiego jak aplikacja w Azure Spring Apps. Za pomocą tej tożsamości można uwierzytelnić się w dowolnej usłudze obsługującej uwierzytelnianie usługi Microsoft Entra bez konieczności przechowywania poświadczeń w kodzie.
Wymagania wstępne
Jeśli nie znasz tożsamości zarządzanych dla zasobów platformy Azure, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?
- Już aprowizowane wystąpienie planu Usługi Azure Spring Apps Enterprise. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie i wdrażanie aplikacji w usłudze Azure Spring Apps przy użyciu planu Enterprise.
- Interfejs wiersza polecenia platformy Azure w wersji 2.45.0 lub nowszej.
-
Rozszerzenie Azure Spring Apps dla interfejsu wiersza polecenia platformy Azure obsługuje tożsamość zarządzaną przypisaną przez użytkownika aplikacji w wersji 1.0.0 lub nowszej. Użyj następującego polecenia, aby usunąć poprzednie wersje i zainstalować najnowsze rozszerzenie:
az extension remove --name spring az extension add --name spring
- Już aprowizowane wystąpienie usługi Azure Spring Apps. Aby uzyskać więcej informacji, zobacz Szybki start: wdrażanie pierwszej aplikacji w usłudze Azure Spring Apps.
- Interfejs wiersza polecenia platformy Azure w wersji 2.45.0 lub nowszej.
-
Rozszerzenie Azure Spring Apps dla interfejsu wiersza polecenia platformy Azure obsługuje tożsamość zarządzaną przypisaną przez użytkownika aplikacji w wersji 1.0.0 lub nowszej. Użyj następującego polecenia, aby usunąć poprzednie wersje i zainstalować najnowsze rozszerzenie:
az extension remove --name spring az extension add --name spring
Dodawanie tożsamości przypisanej przez system
Utworzenie aplikacji z tożsamością przypisaną przez system wymaga ustawienia innej właściwości w aplikacji.
Aby skonfigurować tożsamość zarządzaną w portalu, najpierw utwórz aplikację, a następnie włącz tę funkcję.
- Utwórz aplikację w portalu tak, jak zwykle. Przejdź do niej w portalu.
- Przewiń w dół do grupy Ustawienia w okienku nawigacji po lewej stronie.
- Wybierz Tożsamość.
- Na karcie Przypisane przez system przełącz Stan na Włączone. Wybierz pozycję Zapisz.
Uzyskiwanie tokenów dla zasobów platformy Azure
Aplikacja może użyć swojej tożsamości zarządzanej, aby uzyskać tokeny w celu uzyskania dostępu do innych zasobów chronionych przez identyfikator Entra firmy Microsoft, takich jak Azure Key Vault. Te tokeny reprezentują aplikację, która uzyskuje dostęp do zasobu, a nie żadnego konkretnego użytkownika aplikacji.
Może być konieczne skonfigurowanie zasobu docelowego w celu włączenia dostępu z aplikacji. Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu tożsamości zarządzanej do zasobu platformy Azure lub innego zasobu. Jeśli na przykład zażądasz tokenu dostępu do usługi Key Vault, upewnij się, że dodano zasady dostępu zawierające tożsamość aplikacji. W przeciwnym razie wywołania do Key Vault są odrzucane, nawet jeśli zawierają token. Aby dowiedzieć się więcej o zasobach obsługujących tokeny firmy Microsoft Entra, zobacz Usługi platformy Azure, które mogą używać tożsamości zarządzanych do uzyskiwania dostępu do innych usług.
Usługa Azure Spring Apps udostępnia ten sam punkt końcowy na potrzeby pozyskiwania tokenów za pomocą maszyny wirtualnej platformy Azure. Zalecamy używanie Java SDK lub szablonów startowych Spring Boot w celu uzyskania tokenu. Aby zapoznać się z różnymi przykładami kodu i skryptami oraz wskazówkami dotyczącymi ważnych tematów, takich jak obsługa wygasania tokenów i błędów HTTP, zobacz How to use managed identities for Azure resources on an Azure VM to acquire an access token (Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu).
Wyłączanie tożsamości przypisanej przez system z aplikacji
Usunięcie tożsamości przypisanej przez system powoduje również usunięcie jej z identyfikatora Entra firmy Microsoft. Usunięcie zasobu aplikacji powoduje automatyczne usunięcie tożsamości przypisanych przez system z identyfikatora Entra firmy Microsoft.
Wykonaj następujące kroki, aby usunąć tożsamość zarządzaną przypisaną przez system z aplikacji, która już jej nie wymaga:
- Zaloguj się do portalu przy użyciu konta skojarzonego z subskrypcją platformy Azure, która zawiera instancję Azure Spring Apps.
- Przejdź do żądanej aplikacji i wybierz pozycję Tożsamość.
- W obszarze Przypisany przez system/Stan wybierz pozycję Wyłączone, a następnie wybierz pozycję Zapisz:
Pobierz identyfikator klienta z identyfikatora obiektu (głównego identyfikatora)
Użyj następującego polecenia, aby uzyskać identyfikator klienta z wartości identyfikatora obiektu/podmiotu:
az ad sp show --id <object-ID> --query appId