Partilhar via


Configurar o logon único usando o Microsoft Entra ID para o Spring Cloud Gateway e o API Portal

Nota

Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.

O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.

Este artigo aplica-se a: ❎ Basic/Standard ✅ Enterprise

Este artigo mostra como configurar o logon único (SSO) para o Spring Cloud Gateway ou o API Portal usando o Microsoft Entra ID como um provedor de identificação OpenID.

Pré-requisitos

Para habilitar o SSO para o Spring Cloud Gateway ou o API Portal, você precisa das quatro propriedades a seguir configuradas:

Propriedade SSO Configuração do Microsoft Entra
clientId Consulte Registrar aplicativo
clientSecret Consulte Criar segredo do cliente
âmbito Consulte Configurar escopo
emissorUri Consulte Gerar URI do emissor

Você configurará as propriedades no Microsoft Entra ID nas etapas a seguir.

Atribuir um ponto de extremidade para o Spring Cloud Gateway ou o API Portal

Primeiro, você deve obter o ponto de extremidade público atribuído para o Spring Cloud Gateway e o portal da API seguindo estas etapas:

  1. Abra sua instância de serviço do plano Enterprise no portal do Azure.
  2. Selecione Spring Cloud Gateway ou API portal em componentes VMware Tanzu no menu à esquerda.
  3. Selecione Sim ao lado de Atribuir ponto de extremidade.
  4. Copie o URL para uso na próxima seção deste artigo.

Criar um registro de aplicativo Microsoft Entra

Registre seu aplicativo para estabelecer uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft usando as seguintes etapas:

  1. Na tela inicial, selecione Microsoft Entra ID no menu à esquerda.
  2. Selecione Registos de Aplicações em Gerir e, em seguida, selecione Novo registo.
  3. Introduza um nome para apresentação da sua aplicação em Nome e, em seguida, selecione um tipo de conta para registar em Tipos de conta suportados.
  4. Em Redirecionar URI (opcional), selecione Web e insira o URL da seção acima na caixa de texto. O URI de redirecionamento é o local onde o Microsoft Entra ID redireciona seu cliente e envia tokens de segurança após a autenticação.
  5. Selecione Registrar para concluir o registro do aplicativo.

Quando o registro terminar, você verá o ID do aplicativo (cliente) na tela Visão geral da página Registros do aplicativo*.

Adicionar um URI de redirecionamento após o registro do aplicativo

Você também pode adicionar URIs de redirecionamento após o registro do aplicativo seguindo estas etapas:

  1. Na visão geral do aplicativo, em Gerenciar no menu à esquerda, selecione Autenticação.
  2. Selecione Web e, em seguida, selecione Adicionar URI em Redirecionar URIs.
  3. Adicione um novo URI de redirecionamento e selecione Salvar.

Captura de tela da adição de um URI de redirecionamento à tela de autenticação.

Para obter mais informações sobre o registro de aplicativos, consulte Guia de início rápido: registrar um aplicativo com a plataforma de identidade da Microsoft.

Adicionar um segredo de cliente

O aplicativo usa um segredo de cliente para autenticar-se no fluxo de trabalho SSO. Você pode adicionar um segredo do cliente usando as seguintes etapas:

  1. Na visão geral do aplicativo, em Gerenciar no menu à esquerda, selecione Certificados & segredos.
  2. Selecione Segredos do cliente e, em seguida, selecione Novo segredo do cliente.
  3. Insira uma descrição para o segredo do cliente e defina uma data de validade.
  4. Selecione Adicionar.

Aviso

Lembre-se de salvar o segredo do cliente em um lugar seguro. Não é possível recuperá-lo depois de sair desta página. O segredo do cliente deve ser fornecido com a ID do cliente quando você entra como o aplicativo.

Configurar escopo

A scope propriedade de SSO é uma lista de escopos a serem incluídos nos tokens de identidade JWT. Eles são muitas vezes referidos como permissões. A plataforma de identidade suporta vários escopos do OpenID Connect, como openid, emaile profile. Para obter mais informações, consulte a seção Escopos do OpenID Connect de Escopos e permissões na plataforma de identidade da Microsoft.

Configurar o URI do emissor

O URI do emissor é o URI que é declarado como seu Identificador do Emissor. Por exemplo, se o issuer-uri fornecido for https://example.com, uma Solicitação de Configuração do Provedor OpenID será feita para https://example.com/.well-known/openid-configuration.

O URI do emissor do Microsoft Entra ID é como <authentication-endpoint>/<Your-TenantID>/v2.0. Substitua <authentication-endpoint> pelo ponto de extremidade de autenticação para seu ambiente de nuvem (por exemplo, https://login.microsoftonline.com para o Azure global) e substitua <Your-TenantID> pela ID do diretório (locatário) onde o aplicativo foi registrado.

Configurar SSO

Depois de configurar seu aplicativo Microsoft Entra, você pode configurar as propriedades SSO do Spring Cloud Gateway ou do API Portal seguindo estas etapas:

  1. Selecione Spring Cloud Gateway ou API portal em componentes VMware Tanzu no menu esquerdo e, em seguida, selecione Configuração.
  2. Insira o Scope, Client Id, Client Secrete Issuer URI nos campos apropriados. Separe vários escopos com uma vírgula.
  3. Selecione Salvar para habilitar a configuração de SSO.

Nota

Depois de configurar as propriedades do SSO, lembre-se de habilitar o SSO para as rotas do Spring Cloud Gateway definindo ssoEnabled=true. Para obter mais informações, consulte Configuração de rota.

Próximos passos