Используйте управляемые удостоверения для приложений в Azure Spring Apps

Примечание.

Планы Basic, Standardи Enterprise вступили в период вывода из обращения 17 марта 2025 года. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.

План стандартного потребления и план с выделенными ресурсами был выведен из эксплуатации 30 сентября 2024 года с полным прекращением работы к концу марта 2025 года. Дополнительные сведения см. в статье «Перенос стандартного плана потребления и выделенного плана Azure Spring Apps в Azure Container Apps».

Эта статья относится к:✅ Basic/Standard ✅ Enterprise

В этой статье показано, как применять назначаемые системой и пользователем управляемые удостоверения для приложений в Azure Spring Apps.

Управляемые идентичности для ресурсов Azure предоставляют автоматически управляемое удостоверение в Microsoft Entra ID для ресурса Azure, например, ваше приложение в Azure Spring Apps. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает аутентификацию Microsoft Entra, без использования учетных данных в коде.

Состояние компонента

Назначаемое системой	Назначаемое пользователем
Общедоступная версия	Общедоступная версия

Управление управляемой идентификацией для приложения

Сведения об управляемых удостоверениях, назначаемых системой, см. в разделе Как включить и отключить управляемые удостоверения, назначаемые системой.

Сведения об управляемых удостоверениях, назначаемых пользователем, см. в разделе Как включить и отключить управляемые удостоверения, назначаемые пользователем.

Получение токенов для ресурсов Azure

Приложение может использовать управляемое удостоверение для получения маркеров для доступа к другим ресурсам, защищенным идентификатором Microsoft Entra, например Azure Key Vault. Эти маркеры представляют приложение, получающее доступ к ресурсам, а не конкретного пользователя приложения.

Целевой ресурс можно настроить для включения доступа из приложения. Дополнительные сведения см. в статье «Назначение управляемому удостоверению доступа к ресурсу Azure или другому ресурсу». Например, если вы запрашиваете токен для доступа к Key Vault, убедитесь, что вы добавили политику доступа, включающую удостоверение приложения. В противном случае вызовы в Key Vault будут отклонены, даже если они включают токен. Дополнительные сведения о том, какие ресурсы поддерживают токены Microsoft Entra, см. в службах Azure, поддерживающих проверку подлинности Microsoft Entra.

Azure Spring Apps и виртуальные машины Azure используют одну и ту же конечную точку для получения токена. Для получения токена рекомендуется использовать пакет SDK для Java или приложения Spring Boot Starter. Различные примеры кода и скриптов, а также рекомендации по важным темам, таким как обработка истечения срока действия маркера и ошибки HTTP, см. в статье "Использование управляемых удостоверений для ресурсов Azure на виртуальной машине Azure для получения маркера доступа".

Примеры подключения служб Azure в коде приложения

В следующей таблице приведены ссылки на статьи, содержащие примеры:

Служба Azure	учебник
Хранилище ключей	Руководство. Использование управляемого удостоверения для подключения Key Vault к приложению Azure Spring Apps
Функции Azure	Руководство. Использование управляемого удостоверения для вызова Функций Azure из приложения Azure Spring Apps
Azure SQL	Использование управляемого удостоверения для подключения Базы данных SQL Azure к приложению Azure Spring Apps

Рекомендации по использованию управляемых удостоверений

Настоятельно рекомендуется применять управляемые удостоверения, назначаемые системой, и удостоверения, назначаемые пользователем, отдельно, если у вас нет допустимого варианта использования. При совместном применении обоих типов управляемых удостоверений может произойти сбой, если приложение использует управляемое удостоверение, назначаемое системой, и приложение получит маркер без указания идентификатора клиента этого удостоверения. Этот сценарий может работать нормально до тех пор, пока одно или несколько управляемых удостоверений, назначенных пользователем, назначены этому приложению, в этом случае приложение может не получить правильный токен.

Ограничения

Максимальное количество управляемых удостоверений, назначаемых пользователем для каждого приложения

Для получения информации о максимальном количестве управляемых удостоверений, которые могут быть назначены пользователем для каждого приложения, см. раздел Квоты и планы обслуживания для Azure Spring Apps.

---

Сопоставление концепций

В следующей таблице показаны сопоставления концепций в рамках Управляемой идентичности и области Microsoft Entra.

Область управляемого удостоверения	Область действия Microsoft Entra
Идентификатор принципала	Код объекта
Идентификатор клиента	Идентификатор приложения

Следующие шаги

• Что такое управляемые удостоверения для ресурсов Azure?
• Как использовать управляемые удостоверения в Java SDK