Konfigurowanie logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID dla usługi Spring Cloud Gateway i portalu interfejsu API

Artykuł
10/01/2024

Uwaga

Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.

Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.

Ten artykuł dotyczy:❌ Podstawowa/Standardowa ✔️ Enterprise

W tym artykule pokazano, jak skonfigurować logowanie jednokrotne (SSO) dla usługi Spring Cloud Gateway lub portalu interfejsu API przy użyciu identyfikatora Entra firmy Microsoft jako dostawcy identyfikacji OpenID.

Wymagania wstępne

Wystąpienie planu przedsiębiorstwa z włączoną usługą Spring Cloud Gateway lub portalem interfejsu API. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie i wdrażanie aplikacji w usłudze Azure Spring Apps przy użyciu planu Enterprise.
Wystarczające uprawnienia do zarządzania aplikacjami firmy Microsoft Entra.

Aby włączyć logowanie jednokrotne dla usługi Spring Cloud Gateway lub portalu interfejsu API, potrzebne są następujące cztery właściwości:

Właściwość logowania jednokrotnego	Konfiguracja usługi Microsoft Entra
clientId	Zobacz Rejestrowanie aplikacji
clientSecret	Zobacz Tworzenie wpisu tajnego klienta
zakres	Zobacz Konfigurowanie zakresu
identyfikator issuerUri	Zobacz Generowanie identyfikatora URI wystawcy

Właściwości w usłudze Microsoft Entra ID skonfigurujesz w poniższych krokach.

Przypisywanie punktu końcowego dla usługi Spring Cloud Gateway lub portalu interfejsu API

Najpierw musisz uzyskać przypisany publiczny punkt końcowy dla usługi Spring Cloud Gateway i portalu interfejsu API, wykonując następujące kroki:

Otwórz wystąpienie usługi planu przedsiębiorstwa w witrynie Azure Portal.
Wybierz pozycję Spring Cloud Gateway lub portal interfejsu API w obszarze Składniki VMware Tanzu w menu po lewej stronie.
Wybierz pozycję Tak obok pozycji Przypisz punkt końcowy.
Skopiuj adres URL do użycia w następnej sekcji tego artykułu.

Tworzenie rejestracji aplikacji Entra firmy Microsoft

Zarejestruj aplikację, aby ustanowić relację zaufania między aplikacją a Platforma tożsamości Microsoft, wykonując następujące czynności:

Na ekranie głównym wybierz pozycję Microsoft Entra ID z menu po lewej stronie.
Wybierz pozycję Rejestracje aplikacji w obszarze Zarządzaj, a następnie wybierz pozycję Nowa rejestracja.
Wprowadź nazwę wyświetlaną aplikacji w obszarze Nazwa, a następnie wybierz typ konta, aby zarejestrować się w obszarze Obsługiwane typy kont.
W polu Identyfikator URI przekierowania (opcjonalnie) wybierz pozycję Sieć Web, a następnie wprowadź adres URL z powyższej sekcji w polu tekstowym. Identyfikator URI przekierowania to lokalizacja, w której identyfikator entra firmy Microsoft przekierowuje klienta i wysyła tokeny zabezpieczające po uwierzytelnieniu.
Wybierz pozycję Zarejestruj, aby zakończyć rejestrowanie aplikacji.

Po zakończeniu rejestracji na ekranie Przegląd na stronie Rejestracje aplikacji* zostanie wyświetlony identyfikator aplikacji (klienta).

Dodawanie identyfikatora URI przekierowania po rejestracji aplikacji

Możesz również dodać identyfikatory URI przekierowania po rejestracji aplikacji, wykonując następujące kroki:

Z przeglądu aplikacji w obszarze Zarządzanie w menu po lewej stronie wybierz pozycję Uwierzytelnianie.
Wybierz pozycję Sieć Web, a następnie wybierz pozycję Dodaj identyfikator URI w obszarze Identyfikatory URI przekierowania.
Dodaj nowy identyfikator URI przekierowania, a następnie wybierz pozycję Zapisz.

Aby uzyskać więcej informacji na temat rejestracji aplikacji, zobacz Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.

Dodaj klucz tajny klienta

Aplikacja używa wpisu tajnego klienta do uwierzytelniania się w przepływie pracy logowania jednokrotnego. Klucz tajny klienta można dodać, wykonując następujące kroki:

Z przeglądu aplikacji w obszarze Zarządzaj w menu po lewej stronie wybierz pozycję Certyfikaty i wpisy tajne.
Wybierz pozycję Wpisy tajne klienta, a następnie wybierz pozycję Nowy klucz tajny klienta.
Wprowadź opis wpisu tajnego klienta, a następnie ustaw datę wygaśnięcia.
Wybierz Dodaj.

Ostrzeżenie

Pamiętaj, aby zapisać wpis tajny klienta w bezpiecznym miejscu. Nie można go pobrać po opuszczeniu tej strony. Po zalogowaniu się jako aplikacja należy podać klucz tajny klienta z identyfikatorem klienta.

Konfigurowanie zakresu

Właściwość scope logowania jednokrotnego to lista zakresów, które mają być uwzględnione w tokenach tożsamości JWT. Są one często określane jako uprawnienia. Platforma tożsamości obsługuje kilka zakresów openID Connect, takich jak openid, emaili profile. Aby uzyskać więcej informacji, zobacz sekcję Zakresy i uprawnienia openID Connect w Platforma tożsamości Microsoft.

Konfigurowanie identyfikatora URI wystawcy

Identyfikator URI wystawcy to identyfikator URI, który jest potwierdzany jako identyfikator wystawcy. Jeśli na przykład podany identyfikator issuer-uri to https://example.com, żądanie konfiguracji dostawcy OpenID zostanie wykonane na adres https://example.com/.well-known/openid-configuration.

Identyfikator URI wystawcy identyfikatora Entra firmy Microsoft jest podobny do <authentication-endpoint>/<Your-TenantID>/v2.0. Zastąp <authentication-endpoint> element punktem końcowym uwierzytelniania dla środowiska chmury (na przykład https://login.microsoftonline.com globalnej platformy Azure) i zastąp ciąg <Your-TenantID> identyfikatorem katalogu (dzierżawy), w którym zarejestrowano aplikację.