Dela via


Spring Cloud Azure-autentisering

Den här artikeln gäller för:✅ version 4.19.0 ✅ version 5.19.0

I den här artikeln beskrivs alla Spring Cloud Azure-autentiseringsmetoder.

StandardAzureCredential

Den DefaultAzureCredential är lämplig för de flesta scenarier där programmet är avsett att köras i Azure Cloud. Det beror på att DefaultAzureCredential kombinerar autentiseringsuppgifter som ofta används för att autentisera när de distribueras med autentiseringsuppgifter som används för att autentisera i en utvecklingsmiljö.

Not

DefaultAzureCredential är avsett att förenkla komma igång med SDK genom att hantera vanliga scenarier med rimliga standardbeteenden. Om du vill ha mer kontroll eller om ditt scenario inte hanteras av standardinställningarna bör du använda andra typer av autentiseringsuppgifter.

DefaultAzureCredential försöker autentisera via följande mekanismer i ordning:

diagram som visar autentiseringsmekanismen för

  • Miljö – DefaultAzureCredential läser kontoinformation som anges via miljövariabler och använder den för att autentisera.
  • Hanterad identitet – Om programmet distribueras till en Azure-värd med hanterad identitet aktiverad autentiseras DefaultAzureCredential med det kontot.
  • IntelliJ – Om du har autentiserats via Azure Toolkit for IntelliJ autentiseras DefaultAzureCredential med det kontot.
  • Visual Studio Code – Om du har autentiserats via plugin-programmet Visual Studio Code Azure Account autentiseras DefaultAzureCredential med det kontot.
  • Azure CLI – Om du har autentiserat ett konto via kommandot Azure CLI az login autentiserar DefaultAzureCredential med det kontot.

Dricks

Kontrollera att säkerhetsobjektet har beviljats tillräcklig behörighet för att få åtkomst till Azure-resursen. Mer information finns i Auktorisera åtkomst med Microsoft Entra-ID.

Not

Sedan Spring Cloud Azure AutoConfigure 4.1.0 registreras en ThreadPoolTaskExecutor böna med namnet springCloudAzureCredentialTaskExecutor automatiskt som standard och hanterar alla trådar som skapats av Azure Identity. Namnet på varje tråd som hanteras av den här trådpoolen är prefixet med az-identity-. Denna ThreadPoolTaskExecutor böna är oberoende av den Executor böna som tillhandahålls av Spring Boot.

Hanterade identiteter

En vanlig utmaning är hanteringen av hemligheter och autentiseringsuppgifter som används för att skydda kommunikationen mellan olika komponenter som utgör en lösning. Hanterade identiteter eliminerar behovet av att hantera autentiseringsuppgifter. Hanterade identiteter tillhandahåller en identitet som program kan använda när de ansluter till resurser som stöder Microsoft Entra-autentisering. Program kan använda den hanterade identiteten för att hämta Microsoft Entra-token. Ett program kan till exempel använda en hanterad identitet för att komma åt resurser som Azure Key Vault där du kan lagra autentiseringsuppgifter på ett säkert sätt eller för att få åtkomst till lagringskonton.

Vi rekommenderar att du använder hanterad identitet i stället för att använda anslutningssträng eller nyckel i ditt program eftersom det är säkrare och sparar problem med att hantera hemligheter och autentiseringsuppgifter. I det här fallet kan DefaultAzureCredential bättre hantera scenariot att utveckla lokalt med hjälp av kontoinformation som lagras lokalt och sedan distribuera programmet till Azure Cloud och använda hanterad identitet.

Hanterade identitetstyper

Det finns två typer av hanterade identiteter:

  • Systemtilldelade – Med vissa Azure-tjänster kan du aktivera en hanterad identitet direkt på en tjänstinstans. När du aktiverar en systemtilldelad hanterad identitet skapas en identitet i Microsoft Entra som är kopplad till livscykeln för den tjänstinstansen. När resursen tas bort tar Azure automatiskt bort identiteten åt dig. Avsiktligt kan endast den Azure-resursen använda den här identiteten för att begära token från Microsoft Entra-ID.
  • användartilldelade – Du kan också skapa en hanterad identitet som en fristående Azure-resurs. Du kan skapa en användartilldelad hanterad identitet och tilldela den till en eller flera instanser av en Azure-tjänst. Med användartilldelade hanterade identiteter hanteras identiteten separat från de resurser som använder den.

Not

När du använder en användartilldelad hanterad identitet kan du ange klient-ID:t via spring.cloud.azure.credential.client-id eller spring.cloud.azure.<azure-service>.credential.client-id. Du behöver inte konfiguration av autentiseringsuppgifter om du använder en systemtilldelad hanterad identitet.

Dricks

Kontrollera att säkerhetsobjektet har beviljats tillräcklig behörighet för att få åtkomst till Azure-resursen. Mer information finns i Auktorisera åtkomst med Microsoft Entra-ID.

Mer information om hanterad identitet finns i Vad är hanterade identiteter för Azure-resurser?.

Andra typer av autentiseringsuppgifter

Om du vill ha mer kontroll, eller om ditt scenario inte hanteras av DefaultAzureCredential eller standardinställningarna, bör du använda andra typer av autentiseringsuppgifter.

Autentisering och auktorisering med Microsoft Entra-ID

Med Microsoft Entra-ID kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till ett säkerhetsobjekt, som kan vara en användare eller ett huvudnamn för programtjänsten. När ett säkerhetsobjekt (en användare eller ett program) försöker komma åt en Azure-resurs, till exempel en Event Hubs-resurs, måste begäran auktoriseras. Med Microsoft Entra-ID är åtkomst till en resurs en tvåstegsprocess:

  1. Först autentiseras säkerhetsobjektets identitet och en OAuth 2.0-token returneras.
  2. Därefter skickas token som en del av en begäran till Azure-tjänsten för att auktorisera åtkomst till den angivna resursen.

Autentisera med Microsoft Entra-ID

Om du vill ansluta program till resurser som stöder Microsoft Entra-autentisering kan du ange följande konfigurationer med prefixet spring.cloud.azure.credential eller spring.cloud.azure.<azure-service>.credential

I följande tabell visas autentiseringsegenskaper:

Egenskap Beskrivning
klient-ID Det klient-ID som ska användas när du utför autentisering med tjänstens huvudnamn med Azure.
klienthemlighet Klienthemligheten som ska användas när du utför autentisering med tjänstens huvudnamn med Azure.
client-certificate-path Sökväg till en PEM-certifikatfil som ska användas när du utför autentisering med tjänstens huvudnamn med Azure.
client-certificate-password Lösenordet för certifikatfilen.
användarnamn Användarnamnet som ska användas när du utför autentisering med användarnamn/lösenord med Azure.
lösenord Lösenordet som ska användas när du utför autentisering med användarnamn/lösenord med Azure.
managed-identity-enabled Om du vill aktivera hanterad identitet.

Dricks

En lista över alla Spring Cloud Azure-konfigurationsegenskaper finns i Azure-konfigurationsegenskaper för Spring Cloud.

Programmet söker på flera platser för att hitta en tillgänglig autentiseringsuppgift och använder DefaultAzureCredential om inga egenskaper för autentiseringsuppgifter har konfigurerats. Om du vill använda specifika autentiseringsuppgifter kan du läsa följande exempel för vägledning.

I följande exempel visas hur du autentiserar med hjälp av en systemtilldelad hanterad identitet:

spring.cloud.azure:
  credential:
    managed-identity-enabled: true

I följande exempel visas hur du autentiserar med hjälp av en användartilldelad hanterad identitet:

spring.cloud.azure:
  credential:
    managed-identity-enabled: true
    client-id: ${AZURE_CLIENT_ID}

I följande exempel visas hur du autentiserar med ett huvudnamn för tjänsten med en klienthemlighet:

spring.cloud.azure:
  credential:
    client-id: ${AZURE_CLIENT_ID}
    client-secret: ${AZURE_CLIENT_SECRET}
  profile:
    tenant-id: <tenant>

Not

De värden som tillåts för tenant-id är: common, organizations, consumerseller klientorganisations-ID. Mer information om dessa värden finns i avsnittet Used the wrong endpoint (personal and organization accounts) i Error AADSTS50020 – Användarkonto från identitetsprovidern finns inte i klientorganisationen. Information om hur du konverterar din app för en klientorganisation finns i Konvertera enklientapp till flera klientorganisationer på Microsoft Entra-ID.

I följande exempel visas hur du autentiserar med ett huvudnamn för tjänsten med ett PFX-klientcertifikat:

spring.cloud.azure:
  credential:
    client-id: ${AZURE_CLIENT_ID}
    client-certificate-path: ${AZURE_CLIENT_CERTIFICATE_PATH}
    client-certificate-password: ${AZURE_CLIENT_CERTIFICATE_PASSWORD}
  profile:
    tenant-id: <tenant>

Not

De värden som tillåts för tenant-id är: common, organizations, consumerseller klientorganisations-ID. Mer information om dessa värden finns i avsnittet Used the wrong endpoint (personal and organization accounts) i Error AADSTS50020 – Användarkonto från identitetsprovidern finns inte i klientorganisationen. Information om hur du konverterar din app för en klientorganisation finns i Konvertera enklientapp till flera klientorganisationer på Microsoft Entra-ID.

I följande exempel visas hur du autentiserar med ett huvudnamn för tjänsten med klient-PEM-certifikat:

spring.cloud.azure:
  credential:
    client-id: ${AZURE_CLIENT_ID}
    client-certificate-path: ${AZURE_CLIENT_CERTIFICATE_PATH}
  profile:
    tenant-id: <tenant>

Not

De värden som tillåts för tenant-id är: common, organizations, consumerseller klientorganisations-ID. Mer information om dessa värden finns i avsnittet Used the wrong endpoint (personal and organization accounts) i Error AADSTS50020 – Användarkonto från identitetsprovidern finns inte i klientorganisationen. Information om hur du konverterar din app för en klientorganisation finns i Konvertera enklientapp till flera klientorganisationer på Microsoft Entra-ID.

I följande exempel visas hur du autentiserar med hjälp av en användarautentiseringsuppgift:

spring.cloud.azure:
  credential:
    client-id: ${AZURE_CLIENT_ID}
    username: ${AZURE_USER_USERNAME}
    password: ${AZURE_USER_PASSWORD}

I följande exempel visas hur du autentiserar med Key Vault med ett annat huvudnamn för tjänsten. Det här exemplet konfigurerar programmet med två autentiseringsuppgifter: en systemtilldelad hanterad identitet och ett huvudnamn för tjänsten. Key Vault Secret-klienten använder tjänstens huvudnamn, men alla andra komponenter använder hanterad identitet i stället.

spring.cloud.azure:
  credential:
    managed-identity-enabled: true
  keyvault.secret:
    credential:
      client-id: ${AZURE_CLIENT_ID}
      client-secret: ${AZURE_CLIENT_SECRET}
    profile:
      tenant-id: <tenant>

Not

De värden som tillåts för tenant-id är: common, organizations, consumerseller klientorganisations-ID. Mer information om dessa värden finns i avsnittet Used the wrong endpoint (personal and organization accounts) i Error AADSTS50020 – Användarkonto från identitetsprovidern finns inte i klientorganisationen. Information om hur du konverterar din app för en klientorganisation finns i Konvertera enklientapp till flera klientorganisationer på Microsoft Entra-ID.

Auktorisera åtkomst med Microsoft Entra-ID

Auktoriseringssteget kräver att en eller flera Azure-roller tilldelas säkerhetsobjektet. De roller som tilldelas ett säkerhetsobjekt avgör vilka behörigheter som huvudkontot ska ha.

Dricks

En lista över alla inbyggda Azure-roller finns i inbyggda Azure-roller.

I följande tabell visas de inbyggda Azure-rollerna för att auktorisera åtkomst till Azure-tjänster som stöds i Spring Cloud Azure:

Roll Beskrivning
App Configuration Data Owner Ger fullständig åtkomst till App Configuration-data.
App Configuration Data Reader Tillåter läsåtkomst till App Configuration-data.
Azure Event Hubs-dataägare Ger fullständig åtkomst till Azure Event Hubs-resurser.
Azure Event Hubs Data Receiver Tillåter åtkomst till Azure Event Hubs-resurser.
Azure Event Hubs Data Sender Tillåter sändningsåtkomst till Azure Event Hubs-resurser.
Azure Service Bus-dataägare Ger fullständig åtkomst till Azure Service Bus-resurser.
Azure Service Bus- Tillåter åtkomst till Azure Service Bus-resurser.
Azure Service Bus Data Sender Tillåter att du skickar åtkomst till Azure Service Bus-resurser.
Storage Blob Data Owner Ger fullständig åtkomst till Azure Storage-blobcontainrar och data, inklusive tilldelning av POSIX-åtkomstkontroll.
Storage Blob Data Reader Läsa och lista Azure Storage-containrar och blobar.
Storage Queue Data Reader Läsa och lista Azure Storage-köer och kömeddelanden.
Redis Cache-deltagare Hantera Redis-cacheminnen.

Not

När du använder Spring Cloud Azure Resource Manager för att hämta anslutningssträngarna för Event Hubs, Service Bus och Storage Queue, eller egenskaperna för Cache for Redis, tilldelar du den inbyggda Azure-rollen Contributor. Azure Cache for Redis är speciellt och du kan även tilldela Redis Cache Contributor roll för att hämta Redis-egenskaperna.

Not

En Key Vault-åtkomstprincip avgör om ett visst säkerhetsobjekt, nämligen en användare, ett program eller en användargrupp, kan utföra olika åtgärder på Key Vault-hemligheter, nycklar och certifikat. Du kan tilldela åtkomstprinciper med hjälp av Azure-portalen, Azure CLI eller Azure PowerShell. Mer information finns i Tilldela en key vault-åtkomstprincip.

Viktig

Azure Cosmos DB exponerar två inbyggda rolldefinitioner: Cosmos DB Built-in Data Reader och Cosmos DB Built-in Data Contributor. Stöd för rollhantering i Azure-portalen är dock inte tillgängligt ännu. Mer information om behörighetsmodellen, rolldefinitioner och rolltilldelning finns i Konfigurera rollbaserad åtkomstkontroll med Microsoft Entra-ID för ditt Azure Cosmos DB-konto.

SAS-token

Du kan också konfigurera tjänster för autentisering med signatur för delad åtkomst (SAS). spring.cloud.azure.<azure-service>.sas-token är den egenskap som ska konfigureras. Använd till exempel spring.cloud.azure.storage.blob.sas-token för att autentisera till Storage Blob Service.

Anslutningssträngar

Anslutningssträngen stöds av vissa Azure-tjänster för att tillhandahålla anslutningsinformation och autentiseringsuppgifter. Om du vill ansluta till dessa Azure-tjänster med hjälp av anslutningssträngen konfigurerar du bara spring.cloud.azure.<azure-service>.connection-string. Konfigurera till exempel spring.cloud.azure.eventhubs.connection-string för att ansluta till Event Hubs-tjänsten.