Habilitación de la identidad administrada asignada por el sistema para una aplicación de Azure Spring Apps

  • Artículo

Nota:

Azure Spring Apps es el nuevo nombre del servicio Azure Spring Cloud. Aunque el servicio tiene un nuevo nombre, verá el nombre antiguo en algunos lugares durante un tiempo mientras trabajamos para actualizar recursos, como capturas de pantalla, vídeos y diagramas.

La información de este artículo puede ponerse en práctica en: ✔️ Básico o Estándar ✔️ Enterprise

En este artículo se muestra cómo habilitar y deshabilitar las identidades administradas asignadas por el sistema para una aplicación de Azure Spring Apps mediante Azure Portal y la CLI.

Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente en el identificador de Microsoft Entra a un recurso de Azure, como la aplicación en Azure Spring Apps. Puede usar esta identidad para autenticar a cualquier servicio que admita la autenticación de Microsoft Entra, sin necesidad de tener credenciales en el código.

Requisitos previos

Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte ¿Qué son las identidades administradas para los recursos de Azure?

  • Una instancia de plan de Azure Spring Apps Enterprise ya aprovisionada. Para más información, consulte Inicio rápido: Compilación e implementación de aplicaciones en Azure Spring Apps mediante el plan Enterprise.
  • CLI de Azure: versión 2.45.0 o superior.
  • La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar versiones anteriores e instalar la extensión más reciente: 
    az extension remove --name spring
az extension add --name spring
  • Una instancia de Azure Spring Apps ya aprovisionada. Para más información, consulte Inicio rápido: implementación de la primera aplicación en Azure Spring Apps.
  • CLI de Azure: versión 2.45.0 o superior.
  • La extensión Azure Spring Apps para la CLI de Azure admite la identidad administrada asignada por el usuario de la aplicación con la versión 1.0.0 o posterior. Use el siguiente comando para quitar versiones anteriores e instalar la extensión más reciente: 
    az extension remove --name spring
az extension add --name spring

Adición de una identidad asignada por el sistema

La creación de una aplicación con una identidad asignada por el sistema requiere establecer otra propiedad en la aplicación.

Para configurar una identidad administrada en el portal, primero cree una aplicación y luego habilite la característica.

  1. Cree una aplicación en el portal como lo haría normalmente. Navegue hasta el portal.
  2. Desplácese hacia abajo hasta el grupo Configuración en el panel de navegación izquierdo.
  3. Seleccione Identidad.
  4. En la pestaña Asignado por el sistema, cambie Estado a Activado. Seleccione Guardar.

Screenshot of Azure portal showing the Identity screen for an application.

Obtención de tokens para recursos de Azure

Una aplicación puede usar su identidad administrada para obtener tokens para acceder a otros recursos protegidos por el identificador de Microsoft Entra, como Azure Key Vault. Estos tokens representan a la aplicación que accede al recurso, no a un usuario específico de la aplicación.

Es posible que deba configurar el recurso de destino para permitir el acceso desde la aplicación. Por ejemplo, si se solicita un token para acceder a Key Vault, asegúrese de haber agregado una directiva de acceso que incluya la identidad de la aplicación. De lo contrario, se rechazan las llamadas a Key Vault, aunque incluyan el token. Para más información sobre qué recursos admiten tokens de Microsoft Entra, consulte Servicios de Azure que pueden usar identidades administradas para acceder a otros servicios.

Azure Spring Apps y la máquina virtual de Azure comparten el mismo punto de conexión para la adquisición de tokens. Se recomienda usar el SDK de Java o el iniciador de Spring Boot para adquirir un token. Para obtener varios ejemplos de código y script e instrucciones sobre temas importantes, como el control de la expiración de tokens y los errores HTTP, consulte Uso de identidades administradas para recursos de Azure en una máquina virtual de Azure para adquirir un token de acceso.

Deshabilitación de una identidad asignada por el sistema desde una aplicación

Al quitar una identidad asignada por el sistema, también se elimina de Microsoft Entra ID. Al eliminar el recurso de aplicación, se quitan automáticamente las identidades asignadas por el sistema de Microsoft Entra ID.

Siga estos pasos para quitar la identidad administrada asignada por el sistema de una aplicación que ya no la necesite:

  1. Inicie sesión en el portal con una cuenta asociada a la suscripción a Azure que contiene la instancia de Azure Spring Apps.
  2. Vaya a la aplicación que desee y seleccione Identidad.
  3. En Asignado por el sistema/Estado, seleccione Desactivado y después Guardar:

Screenshot of Azure portal showing the Identity screen for an application, with the Status switch set to Off.

Obtención del identificador de cliente a partir del identificador de objeto (id. de la entidad de seguridad)

Use el comando siguiente para obtener el identificador de cliente del valor de id. de objeto o de entidad de seguridad:

az ad sp show --id <object-ID> --query appId

Pasos siguientes