Povolení spravované identity přiřazené systémem pro aplikaci v Azure Spring Apps
Poznámka:
Azure Spring Apps je nový název služby Azure Spring Cloud. Přestože má služba nový název, na některých místech uvidíte starý název, protože pracujeme na aktualizaci prostředků, jako jsou snímky obrazovky, videa a diagramy.
Tento článek se vztahuje na: ✔️ Basic/Standard ✔️ Enterprise
V tomto článku se dozvíte, jak povolit a zakázat spravované identity přiřazené systémem pro aplikaci v Azure Spring Apps pomocí webu Azure Portal a rozhraní příkazového řádku.
Spravované identity pro prostředky Azure poskytují automaticky spravovanou identitu v Microsoft Entra ID prostředku Azure, jako je vaše aplikace v Azure Spring Apps. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.
Požadavky
Pokud neznáte spravované identity pro prostředky Azure, přečtěte si téma Co jsou spravované identity pro prostředky Azure?
- Již zřízená instance plánu Azure Spring Apps Enterprise. Další informace najdete v tématu Rychlý start: Sestavování a nasazování aplikací do Azure Spring Apps pomocí plánu Enterprise.
- Azure CLI verze 2.45.0 nebo vyšší
- Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:
az extension remove --name spring az extension add --name spring
- Už zřízená instance Azure Spring Apps. Další informace najdete v tématu Rychlý start: Nasazení první aplikace do Azure Spring Apps.
- Azure CLI verze 2.45.0 nebo vyšší
- Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:
az extension remove --name spring az extension add --name spring
Přidání identity přiřazené systémem
Vytvoření aplikace s identitou přiřazenou systémem vyžaduje nastavení jiné vlastnosti aplikace.
Pokud chcete nastavit spravovanou identitu na portálu, nejprve vytvořte aplikaci a pak tuto funkci povolte.
- Vytvořte na portálu aplikaci, jak byste normálně měli. Přejděte na něj na portálu.
- Posuňte se dolů ke skupině Nastavení v levém navigačním podokně.
- Vyberte Identitu.
- Na kartě Přiřazený systém přepněte stav na Zapnuto. Zvolte Uložit.
Získání tokenů pro prostředky Azure
Aplikace může pomocí své spravované identity získat tokeny pro přístup k dalším prostředkům chráněným ID Microsoft Entra, jako je Azure Key Vault. Tyto tokeny představují aplikaci, která přistupuje k prostředku, nikoli žádnému konkrétnímu uživateli aplikace.
Možná budete muset nakonfigurovat cílový prostředek tak, aby umožňoval přístup z vaší aplikace. Pokud například požádáte o token pro přístup ke službě Key Vault, ujistěte se, že jste přidali zásady přístupu, které zahrnují identitu vaší aplikace. Jinak se vaše volání do služby Key Vault zamítnou, i když token obsahují. Další informace o tom, které prostředky podporují tokeny Microsoft Entra, najdete ve službách Azure, které můžou používat spravované identity pro přístup k jiným službám.
Azure Spring Apps sdílí stejný koncový bod pro získání tokenu s virtuálním počítačem Azure. K získání tokenu doporučujeme použít sadu Java SDK nebo úvodní sady Spring Boot. Různé příklady kódu a skriptů a pokyny k důležitým tématům, jako je zpracování vypršení platnosti tokenu a chyb HTTP, najdete v tématu Použití spravovaných identit pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.
Zakázání identity přiřazené systémem z aplikace
Odebráním identity přiřazené systémem se odstraní také z ID Microsoft Entra. Odstraněním prostředku aplikace se automaticky odeberou identity přiřazené systémem z ID Microsoft Entra.
Pomocí následujících kroků odeberte spravovanou identitu přiřazenou systémem z aplikace, která ji už nepotřebuje:
- Přihlaste se k portálu pomocí účtu přidruženého k předplatnému Azure, které obsahuje instanci Azure Spring Apps.
- Přejděte do požadované aplikace a vyberte Identita.
- V části Stav přiřazený/systémem vyberte Vypnuto a pak vyberte Uložit:
Získání ID klienta z ID objektu (ID objektu)
Pomocí následujícího příkazu získejte ID klienta z hodnoty ID objektu nebo objektu zabezpečení:
az ad sp show --id <object-ID> --query appId