Einrichten des einmaligen Anmeldens mithilfe der Microsoft Entra-ID für Spring Cloud Gateway und API-Portal

Dieser Artikel gilt für:❌ Basic/Standard ✔️ Enterprise

In diesem Artikel erfahren Sie, wie Sie einmaliges Anmelden (Single Sign-On, SSO) für Spring Cloud Gateway oder API-Portal konfigurieren, indem Sie die Microsoft Entra-ID als OpenID-Anbieter verwenden.

Voraussetzungen

• Eine Enterprise-Planinstanz mit aktivierter Spring Cloud Gateway- oder API-Portal. Weitere Informationen finden Sie in der Schnellstartanleitung: Erstellen und Bereitstellen von Apps in Azure Spring Apps mit dem Enterprise-Plan.
• Ausreichende Berechtigungen zum Verwalten von Microsoft Entra-Anwendungen.

Damit SSO für Spring Cloud Gateway oder das API-Portal aktiviert werden kann, müssen die folgenden vier Eigenschaften konfiguriert sein:

SSO-Eigenschaft	Microsoft Entra Konfiguration
clientId	Siehe Registrieren der App
clientSecret	Siehe Erstellen eines geheimen Clientschlüssels
scope	Siehe Konfigurieren des Bereichs
issuerUri	Siehe Erstellen des Aussteller-URI

Sie konfigurieren die Eigenschaften in der Microsoft Entra-ID in den folgenden Schritten.

Zuweisen eines Endpunkts für Spring Cloud Gateway oder das API-Portal

Zunächst müssen Sie den zugewiesenen öffentlichen Endpunkt für Spring Cloud Gateway und das API-Portal erhalten, indem Sie die folgenden Schritte ausführen:

1. Öffnen Sie ihre Enterprise-Plandienstinstanz im Azure-Portal.
2. Wählen Sie im linken Menü unter VMware Tanzu-Komponenten die Option Spring Cloud Gateway oder API-Portal aus.
3. Wählen Sie neben Endpunkt zuweisen die Option Ja aus.
4. Kopieren Sie die URL für die Verwendung im nächsten Abschnitt dieses Artikels.

Erstellen einer Microsoft Entra-Anwendungsregistrierung

Registrieren Sie Ihre Anwendung, um eine Vertrauensstellung zwischen Ihrer App und Microsoft Identity Platform. Gehen Sie hierzu wie folgt vor:

1. Wählen Sie auf dem Startbildschirm die Microsoft Entra-ID im linken Menü aus.
2. Wählen Sie unter Verwalten die Option App-Registrierungen und dann Neue Registrierung aus.
3. Geben Sie unter Name einen Anzeigenamen für Ihre Anwendung ein, und wählen Sie dann einen Kontotyp aus, der unter Unterstützte Kontotypen registriert werden soll.
4. Wählen Sie unter Umleitungs-URI (optional) die Option Web aus, und geben Sie dann die URL aus dem obigen Abschnitt in das Textfeld ein. Der Umleitungs-URI ist der Speicherort, an dem Die Microsoft Entra-ID Ihren Client umleitet und Sicherheitstoken nach der Authentifizierung sendet.
5. Wählen Sie Registrieren aus, um die Registrierung der Anwendung abzuschließen.

Wenn die Registrierung abgeschlossen ist, wird die Anwendungs-ID (Client) auf dem Bildschirm Übersicht der Seite App-Registrierungen* angezeigt.

Hinzufügen eines Umleitungs-URI zur App-Registrierung

Sie können auch Umleitungs-URIs nach der App-Registrierung hinzufügen, indem Sie die folgenden Schritte ausführen:

1. Wählen Sie im linken Menü Ihrer Anwendungsübersicht unter Verwalten die Option Authentifizierung aus.
2. Wählen Sie Web und dann unter Umleitungs-URIs die Option URI hinzufügen aus.
3. Fügen Sie einen neuen Umleitungs-URI hinzu, und wählen Sie dann Speichern aus.

Weitere Informationen zur Anwendungsregistrierung finden Sie in der Schnellstartanleitung: Registrieren einer Anwendung bei der Microsoft Identity Platform.

Hinzufügen eines geheimen Clientschlüssels

Die Anwendung verwendet einen geheimen Clientschlüssel, um sich im SSO-Workflow zu authentifizieren. Sie können einen geheimen Clientschlüssel wie folgt hinzufügen:

1. Wählen Sie in ihrer Anwendungsübersicht unter "Verwalten" im linken Menü "Zertifikate und Geheime Schlüssel" aus.
2. Wählen Sie Geheime Clientschlüssel und dann Neuer geheimer Clientschlüssel aus.
3. Geben Sie eine Beschreibung für den geheimen Clientschlüssel ein, und legen Sie dann ein Ablaufdatum fest.
4. Wählen Sie Hinzufügen aus.

Warnung

Denken Sie daran, den geheimen Clientschlüssel an einem sicheren Ort zu speichern. Sie können ihn nicht mehr abrufen, nachdem Sie die Seite verlassen haben. Der geheime Clientschlüssel muss bei der Anmeldung als Anwendung mit der Client-ID bereitgestellt werden.

Konfigurieren des Suchbereichs

Die Eigenschaft scope von SSO ist eine Liste der Bereiche, die in JWT-Identitätstoken enthalten sein sollen. Sie werden häufig als Berechtigungen bezeichnet. Identity Platform unterstützt mehrere OpenID-Verbinden Bereiche, zopenid. B. , und emailprofile. Weitere Informationen finden Sie im Abschnitt "OpenID Verbinden Bereiche" von Bereichen und Berechtigungen in der Microsoft Identity Platform.

Konfigurieren des Aussteller-URI

Der Aussteller-URI ist der URI, der als Ausstellerbezeichner bestätigt wird. Wenn der angegebene Aussteller-URI z. B. https://example.com lautet, wird eine OpenID-Anbieterkonfigurationsanforderung an https://example.com/.well-known/openid-configuration ausgegeben.

Der Aussteller-URI der Microsoft Entra-ID ist wie <authentication-endpoint>/<Your-TenantID>/v2.0. Ersetzen Sie <authentication-endpoint> durch den Authentifizierungsendpunkt für Ihre Cloudumgebung (z. B. https://login.microsoftonline.com für globales Azure), und ersetzen Sie <Your-TenantID>durch die Verzeichnis-ID (Mandanten-ID), in der die Anwendung registriert wurde.

Konfigurieren von SSO

Nachdem Sie Ihre Microsoft Entra-Anwendung konfiguriert haben, können Sie die SSO-Eigenschaften von Spring Cloud Gateway oder API Portal wie folgt einrichten:

1. Wählen Sie im linken Menü unter VMware Tanzu-Komponenten die Option Spring Cloud Gateway oder API-Portal aus, dann wählen Sie Konfiguration aus.
2. Geben Sie die entsprechenden Felder Scope, Client Id, Client Secret und Issuer URI ein. Trennen Sie mehrere Bereiche durch ein Komma.
3. Wählen Sie Speichern aus, um die SSO-Konfiguration zu aktivieren.

Hinweis

Denken Sie nach dem Konfigurieren von SSO-Eigenschaften daran, SSO für die Spring Cloud Gateway-Routen zu aktivieren, indem Sie ssoEnabled=true festlegen. Weitere Informationen finden Sie unter Konfigurieren von Routen.

Nächste Schritte

• Konfigurieren von Routen