Включение системно назначаемого управляемого удостоверения для приложения в Azure Spring Apps
Примечание.
Планы Basic, Standardи Enterprise вступили в период вывода из обращения 17 марта 2025 года. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.
План стандартного потребления и выделенный план вошли в период вывода из эксплуатации 30 сентября 2024 года, с полным завершением работы к концу марта 2025 года. Дополнительные сведения см. в статье «Миграция потребления и выделенного плана Azure Spring Apps Standard в Azure Container Apps».
Эта статья относится к:✅ Basic/Standard ✅ Enterprise
В этой статье описывается процесс включения и отключения управляемых удостоверений, назначаемых системой, для приложения в Azure Spring Apps, с использованием портала Azure и интерфейса командной строки (CLI).
Управляемые удостоверения для ресурсов Azure предоставляют автоматически управляемую идентичность в Microsoft Entra ID для ресурса Azure, такого как ваше приложение в Azure Spring Apps. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает аутентификацию Microsoft Entra, без использования учетных данных в коде.
Предварительные условия
Если вы не знакомы с управляемыми удостоверениями для ресурсов Azure, ознакомьтесь со сведениями об управляемых удостоверениях для ресурсов Azure?
- Уже предоставленный экземпляр плана Azure Spring Apps Enterprise. Для получения дополнительной информации см. Краткое руководство: Создание и развертывание приложений в Azure Spring Apps с использованием плана Enterprise.
- Azure CLI версии 2.45.0 или более поздней.
-
Расширение Azure Spring Apps для Azure CLI поддерживает управляемое удостоверение, назначаемое пользователем, с версией 1.0.0 или более поздней. Используйте следующую команду, чтобы удалить предыдущие версии и установить последнее расширение:
az extension remove --name spring az extension add --name spring
- Уже подготовленный экземпляр Azure Spring Apps. Дополнительные сведения см. в статье Краткое руководство. Развертывание первого приложения Azure Spring Apps.
- Azure CLI версии 2.45.0 или более поздней.
-
Расширение Azure Spring Apps для Azure CLI поддерживает управляемое удостоверение, назначаемое пользователем, с версией 1.0.0 или более поздней. Используйте следующую команду, чтобы удалить предыдущие версии и установить последнее расширение:
az extension remove --name spring az extension add --name spring
Добавление назначаемого системой удостоверения
Для создания приложения с удостоверением пользователя, назначаемым системой, требуется задать другое свойство для приложения.
Чтобы настроить управляемое удостоверение на портале, сначала необходимо создать приложение, а затем активировать соответствующую функцию.
- Создайте приложение на портале обычным образом. Перейдите к нему на портале.
- Прокрутите вниз до группы Параметры в левой области навигации.
- Выберите Идентификация.
- На вкладке Назначено системой для параметра Состояние установите значение Вкл. Выберите Сохранить.
Получение токенов для ресурсов Azure
Приложение может использовать управляемое удостоверение для получения токенов для доступа к другим ресурсам, защищенным Microsoft Entra ID, например Azure Key Vault. Эти маркеры представляют приложение, получающее доступ к ресурсам, а не конкретного пользователя приложения.
Возможно, потребуется настроить целевой ресурс, чтобы включить доступ из приложения. Дополнительные сведения см. в статье «Назначение доступа управляемому удостоверению к ресурсу Azure или другому ресурсу». Например, если вы запрашиваете токен для получения доступа к Key Vault, убедитесь, что вы добавили политику доступа, включающую удостоверение вашего приложения. В противном случае вызовы к Key Vault отклоняются, даже если они включают токен. Дополнительные сведения о том, какие ресурсы поддерживают токены Microsoft Entra, см. в разделе Службы Azure, которые могут использовать управляемые удостоверения для доступа к другим службам.
Azure Spring Apps и виртуальная машина Azure используют одну и ту же конечную точку для получения токена. Для получения токена рекомендуется использовать пакет SDK для Java или приложения Spring Boot Starter. Различные примеры кода и скриптов и рекомендации по важным темам, таким как обработка истечения срока действия маркера и ошибки HTTP, см. в статье Использование управляемых удостоверений для ресурсов Azure на виртуальной машине Azure для получения маркера доступа.
Отключение идентификатора, назначаемого системой, в приложении
Удаление системно назначенного удостоверения также удаляет его из Microsoft Entra ID. При удалении ресурса приложения автоматически удаляются удостоверения, назначенные системой, из идентификатора Microsoft Entra.
Выполните следующие действия, чтобы удалить управляемое удостоверение, назначаемое системой, из приложения, которое больше не требуется:
- Войдите на портал с помощью учетной записи, связанной с подпиской Azure, которая содержит экземпляр Azure Spring Apps.
- Перейдите к нужному приложению и выберите Удостоверение.
- В разделе Назначено системой/Состояние нажмите кнопку Выкл., а затем Сохранить.
Получите идентификатор клиента из идентификатора объекта (идентификатора главного субъекта)
Используйте следующую команду, чтобы получить идентификатор клиента из значения идентификатора объекта или субъекта:
az ad sp show --id <object-ID> --query appId