Povolení spravované identity přiřazené systémem pro aplikaci v Azure Spring Apps

Poznámka:

Azure Spring Apps je nový název služby Azure Spring Cloud. Přestože má služba nový název, na některých místech uvidíte starý název, protože pracujeme na aktualizaci prostředků, jako jsou snímky obrazovky, videa a diagramy.

Tento článek se vztahuje na: ✔️ Basic/Standard ✔️ Enterprise

V tomto článku se dozvíte, jak povolit a zakázat spravované identity přiřazené systémem pro aplikaci v Azure Spring Apps pomocí webu Azure Portal a rozhraní příkazového řádku.

Spravované identity pro prostředky Azure poskytují automaticky spravovanou identitu v Microsoft Entra ID prostředku Azure, jako je vaše aplikace v Azure Spring Apps. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.

Požadavky

Pokud neznáte spravované identity pro prostředky Azure, přečtěte si téma Co jsou spravované identity pro prostředky Azure?

• Již zřízená instance plánu Azure Spring Apps Enterprise. Další informace najdete v tématu Rychlý start: Sestavování a nasazování aplikací do Azure Spring Apps pomocí plánu Enterprise.
• Azure CLI verze 2.45.0 nebo vyšší
• Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:

  az extension remove --name spring
  az extension add --name spring
  

• Už zřízená instance Azure Spring Apps. Další informace najdete v tématu Rychlý start: Nasazení první aplikace do Azure Spring Apps.
• Azure CLI verze 2.45.0 nebo vyšší
• Rozšíření Azure Spring Apps pro Azure CLI podporuje spravovanou identitu přiřazenou uživatelem aplikace s verzí 1.0.0 nebo novější. Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření:

  az extension remove --name spring
  az extension add --name spring
  

Přidání identity přiřazené systémem

Vytvoření aplikace s identitou přiřazenou systémem vyžaduje nastavení jiné vlastnosti aplikace.

Azure Portal

Pokud chcete nastavit spravovanou identitu na portálu, nejprve vytvořte aplikaci a pak tuto funkci povolte.

1. Vytvořte na portálu aplikaci, jak byste normálně měli. Přejděte na něj na portálu.
2. Posuňte se dolů ke skupině Nastavení v levém navigačním podokně.
3. Vyberte Identitu.
4. Na kartě Přiřazený systém přepněte stav na Zapnuto. Zvolte Uložit.

Azure CLI

Spravovanou identitu přiřazenou systémem můžete povolit při vytváření aplikace nebo v existující aplikaci.

Povolení spravované identity přiřazené systémem během vytváření aplikace

Následující příklad vytvoří aplikaci s názvem app_name se spravovanou identitou přiřazenou systémem podle požadavku parametru --assign-identity .

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Povolení spravované identity přiřazené systémem v existující aplikaci**

Pomocí az spring app identity assign příkazu povolíte identitu přiřazenou systémem v existující aplikaci.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Získání tokenů pro prostředky Azure

Aplikace může pomocí své spravované identity získat tokeny pro přístup k dalším prostředkům chráněným ID Microsoft Entra, jako je Azure Key Vault. Tyto tokeny představují aplikaci, která přistupuje k prostředku, nikoli žádnému konkrétnímu uživateli aplikace.

Možná budete muset nakonfigurovat cílový prostředek tak, aby umožňoval přístup z vaší aplikace. Pokud například požádáte o token pro přístup ke službě Key Vault, ujistěte se, že jste přidali zásady přístupu, které zahrnují identitu vaší aplikace. Jinak se vaše volání do služby Key Vault zamítnou, i když token obsahují. Další informace o tom, které prostředky podporují tokeny Microsoft Entra, najdete ve službách Azure, které můžou používat spravované identity pro přístup k jiným službám.

Azure Spring Apps sdílí stejný koncový bod pro získání tokenu s virtuálním počítačem Azure. K získání tokenu doporučujeme použít sadu Java SDK nebo úvodní sady Spring Boot. Různé příklady kódu a skriptů a pokyny k důležitým tématům, jako je zpracování vypršení platnosti tokenu a chyb HTTP, najdete v tématu Použití spravovaných identit pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.

Zakázání identity přiřazené systémem z aplikace

Odebráním identity přiřazené systémem se odstraní také z ID Microsoft Entra. Odstraněním prostředku aplikace se automaticky odeberou identity přiřazené systémem z ID Microsoft Entra.

Azure Portal

Pomocí následujících kroků odeberte spravovanou identitu přiřazenou systémem z aplikace, která ji už nepotřebuje:

1. Přihlaste se k portálu pomocí účtu přidruženého k předplatnému Azure, které obsahuje instanci Azure Spring Apps.
2. Přejděte do požadované aplikace a vyberte Identita.
3. V části Stav přiřazený/systémem vyberte Vypnuto a pak vyberte Uložit:

Azure CLI

Pokud chcete odebrat spravovanou identitu přiřazenou systémem z aplikace, která ji už nepotřebuje, použijte následující příkaz:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Získání ID klienta z ID objektu (ID objektu)

Pomocí následujícího příkazu získejte ID klienta z hodnoty ID objektu nebo objektu zabezpečení:

az ad sp show --id <object-ID> --query appId

---

Další kroky

• Co jsou spravované identity pro prostředky Azure?
• Jak používat spravované identity se sadou Java SDK