Konfigurowanie logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID dla usługi Spring Cloud Gateway i portalu interfejsu API
Uwaga
Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.
Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.
Ten artykuł dotyczy: ❎ Podstawowa/Standardowa ✅ Enterprise
W tym artykule pokazano, jak skonfigurować logowanie jednokrotne (SSO) dla usługi Spring Cloud Gateway lub portalu interfejsu API przy użyciu identyfikatora Entra firmy Microsoft jako dostawcy identyfikacji OpenID.
Wymagania wstępne
- Wystąpienie planu przedsiębiorstwa z włączoną usługą Spring Cloud Gateway lub portalem interfejsu API. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie i wdrażanie aplikacji w usłudze Azure Spring Apps przy użyciu planu Enterprise.
- Wystarczające uprawnienia do zarządzania aplikacjami firmy Microsoft Entra.
Aby włączyć logowanie jednokrotne dla usługi Spring Cloud Gateway lub portalu interfejsu API, potrzebne są następujące cztery właściwości:
Właściwość logowania jednokrotnego | Konfiguracja usługi Microsoft Entra |
---|---|
clientId | Zobacz Rejestrowanie aplikacji |
clientSecret | Zobacz Tworzenie wpisu tajnego klienta |
zakres | Zobacz Konfigurowanie zakresu |
identyfikator issuerUri | Zobacz Generowanie identyfikatora URI wystawcy |
Właściwości w usłudze Microsoft Entra ID skonfigurujesz w poniższych krokach.
Przypisywanie punktu końcowego dla usługi Spring Cloud Gateway lub portalu interfejsu API
Najpierw musisz uzyskać przypisany publiczny punkt końcowy dla usługi Spring Cloud Gateway i portalu interfejsu API, wykonując następujące kroki:
- Otwórz wystąpienie usługi planu przedsiębiorstwa w witrynie Azure Portal.
- Wybierz pozycję Spring Cloud Gateway lub portal interfejsu API w obszarze Składniki VMware Tanzu w menu po lewej stronie.
- Wybierz pozycję Tak obok pozycji Przypisz punkt końcowy.
- Skopiuj adres URL do użycia w następnej sekcji tego artykułu.
Tworzenie rejestracji aplikacji Entra firmy Microsoft
Zarejestruj aplikację, aby ustanowić relację zaufania między aplikacją a Platforma tożsamości Microsoft, wykonując następujące czynności:
- Na ekranie głównym wybierz pozycję Microsoft Entra ID z menu po lewej stronie.
- Wybierz pozycję Rejestracje aplikacji w obszarze Zarządzaj, a następnie wybierz pozycję Nowa rejestracja.
- Wprowadź nazwę wyświetlaną aplikacji w obszarze Nazwa, a następnie wybierz typ konta, aby zarejestrować się w obszarze Obsługiwane typy kont.
- W polu Identyfikator URI przekierowania (opcjonalnie) wybierz pozycję Sieć Web, a następnie wprowadź adres URL z powyższej sekcji w polu tekstowym. Identyfikator URI przekierowania to lokalizacja, w której identyfikator entra firmy Microsoft przekierowuje klienta i wysyła tokeny zabezpieczające po uwierzytelnieniu.
- Wybierz pozycję Zarejestruj, aby zakończyć rejestrowanie aplikacji.
Po zakończeniu rejestracji na ekranie Przegląd na stronie Rejestracje aplikacji* zostanie wyświetlony identyfikator aplikacji (klienta).
Dodawanie identyfikatora URI przekierowania po rejestracji aplikacji
Możesz również dodać identyfikatory URI przekierowania po rejestracji aplikacji, wykonując następujące kroki:
- Z przeglądu aplikacji w obszarze Zarządzanie w menu po lewej stronie wybierz pozycję Uwierzytelnianie.
- Wybierz pozycję Sieć Web, a następnie wybierz pozycję Dodaj identyfikator URI w obszarze Identyfikatory URI przekierowania.
- Dodaj nowy identyfikator URI przekierowania, a następnie wybierz pozycję Zapisz.
Aby uzyskać więcej informacji na temat rejestracji aplikacji, zobacz Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.
Dodaj klucz tajny klienta
Aplikacja używa wpisu tajnego klienta do uwierzytelniania się w przepływie pracy logowania jednokrotnego. Klucz tajny klienta można dodać, wykonując następujące kroki:
- Z przeglądu aplikacji w obszarze Zarządzaj w menu po lewej stronie wybierz pozycję Certyfikaty i wpisy tajne.
- Wybierz pozycję Wpisy tajne klienta, a następnie wybierz pozycję Nowy klucz tajny klienta.
- Wprowadź opis wpisu tajnego klienta, a następnie ustaw datę wygaśnięcia.
- Wybierz Dodaj.
Ostrzeżenie
Pamiętaj, aby zapisać wpis tajny klienta w bezpiecznym miejscu. Nie można go pobrać po opuszczeniu tej strony. Po zalogowaniu się jako aplikacja należy podać klucz tajny klienta z identyfikatorem klienta.
Konfigurowanie zakresu
Właściwość scope
logowania jednokrotnego to lista zakresów, które mają być uwzględnione w tokenach tożsamości JWT. Są one często określane jako uprawnienia. Platforma tożsamości obsługuje kilka zakresów openID Connect, takich jak openid
, email
i profile
. Aby uzyskać więcej informacji, zobacz sekcję Zakresy i uprawnienia openID Connect w Platforma tożsamości Microsoft.
Konfigurowanie identyfikatora URI wystawcy
Identyfikator URI wystawcy to identyfikator URI, który jest potwierdzany jako identyfikator wystawcy. Jeśli na przykład podany identyfikator issuer-uri to https://example.com
, żądanie konfiguracji dostawcy OpenID zostanie wykonane na adres https://example.com/.well-known/openid-configuration
.
Identyfikator URI wystawcy identyfikatora Entra firmy Microsoft jest podobny do <authentication-endpoint>/<Your-TenantID>/v2.0
. Zastąp <authentication-endpoint>
element punktem końcowym uwierzytelniania dla środowiska chmury (na przykład https://login.microsoftonline.com
globalnej platformy Azure) i zastąp ciąg <Your-TenantID>
identyfikatorem katalogu (dzierżawy), w którym zarejestrowano aplikację.
Konfigurowanie logowania jednokrotnego
Po skonfigurowaniu aplikacji Microsoft Entra można skonfigurować właściwości logowania jednokrotnego usługi Spring Cloud Gateway lub portalu API, wykonując następujące kroki:
- Wybierz pozycję Spring Cloud Gateway lub portal interfejsu API w obszarze składniki VMware Tanzu w menu po lewej stronie, a następnie wybierz pozycję Konfiguracja.
Scope
Wprowadź wartości ,Client Id
,Client Secret
iIssuer URI
w odpowiednich polach. Rozdziel wiele zakresów przecinkami.- Wybierz pozycję Zapisz , aby włączyć konfigurację logowania jednokrotnego.
Uwaga
Po skonfigurowaniu właściwości logowania jednokrotnego pamiętaj, aby włączyć logowanie jednokrotne dla tras usługi Spring Cloud Gateway przez ustawienie .ssoEnabled=true
Aby uzyskać więcej informacji, zobacz Konfiguracja trasy.