Använda hanterade identiteter för program i Azure Spring Apps
Kommentar
Basic-, Standard- och Enterprise-planerna kommer att vara inaktuella från och med mitten av mars 2025, med en 3-årig pensionsperiod. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i meddelandet om azure Spring Apps-pensionering.
Standardförbrukningen och den dedikerade planen kommer att vara inaktuell från och med den 30 september 2024, med en fullständig avstängning efter sex månader. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.
Den här artikeln gäller för: ✔️ Basic/Standard ✔️ Enterprise
Den här artikeln visar hur du använder systemtilldelade och användartilldelade hanterade identiteter för program i Azure Spring Apps.
Hanterade identiteter för Azure-resurser ger en automatiskt hanterad identitet i Microsoft Entra-ID till en Azure-resurs, till exempel ditt program i Azure Spring Apps. Du kan använda den här identiteten för att autentisera mot alla tjänster som har stöd för Microsoft Entra-autentisering, utan att behöva ha några autentiseringsuppgifter i koden.
Funktionsstatus
| Systemtilldelad | Användartilldelad |
|---|---|
| Allmän tillgänglighet | Allmän tillgänglighet |
Hantera hanterad identitet för ett program
Information om systemtilldelade hanterade identiteter finns i Så här aktiverar och inaktiverar du systemtilldelad hanterad identitet.
Information om användartilldelade hanterade identiteter finns i Tilldela och ta bort användartilldelade hanterade identiteter.
Hämta token för Azure-resurser
Ett program kan använda sin hanterade identitet för att hämta token för att få åtkomst till andra resurser som skyddas av Microsoft Entra-ID, till exempel Azure Key Vault. Dessa token representerar programmet som kommer åt resursen, inte någon specifik användare av programmet.
Du kan konfigurera målresursen för att aktivera åtkomst från ditt program. Mer information finns i Tilldela en hanterad identitet åtkomst till en Azure-resurs eller en annan resurs. Om du till exempel begär en token för åtkomst till Key Vault måste du ha lagt till en åtkomstprincip som innehåller programmets identitet. Annars avvisas dina anrop till Key Vault, även om de inkluderar token. Mer information om vilka resurser som stöder Microsoft Entra-token finns i Azure-tjänster som stöder Microsoft Entra-autentisering.
Azure Spring Apps delar samma slutpunkt för tokenförvärv med Azure Virtual Machines. Vi rekommenderar att du använder Java SDK eller Spring Boot-startappar för att hämta en token. Olika kod- och skriptexempel samt vägledning om viktiga ämnen som hantering av tokens förfallodatum och HTTP-fel finns i Använda hanterade identiteter för Azure-resurser på en virtuell Azure-dator för att hämta en åtkomsttoken.
Exempel på hur du ansluter Azure-tjänster i programkod
Följande tabell innehåller länkar till artiklar som innehåller exempel:
Metodtips vid användning av hanterade identiteter
Vi rekommenderar starkt att du använder systemtilldelade och användartilldelade hanterade identiteter separat om du inte har ett giltigt användningsfall. Om du använder båda typerna av hanterad identitet tillsammans kan ett fel inträffa om ett program använder systemtilldelad hanterad identitet och programmet hämtar token utan att ange klient-ID för den identiteten. Det här scenariot kan fungera bra tills en eller flera användartilldelade hanterade identiteter har tilldelats till programmet. Då kan programmet misslyckas med att hämta rätt token.
Begränsningar
Maximalt antal användartilldelade hanterade identiteter per program
Det maximala antalet användartilldelade hanterade identiteter per program finns i Kvoter och tjänstplaner för Azure Spring Apps.
Konceptmappning
I följande tabell visas mappningarna mellan begrepp i omfånget hanterad identitet och Microsoft Entra-omfånget:
| Omfång för hanterad identitet | Microsoft Entra-omfång |
|---|---|
| Huvudnamns-ID | Objekt-ID |
| Client ID | Program-ID:t |