Uso de identidades administradas para aplicaciones en Azure Spring Apps
Nota:
Azure Spring Apps es el nuevo nombre del servicio Azure Spring Cloud. Aunque el servicio tiene un nuevo nombre, verá el nombre antiguo en algunos lugares durante un tiempo mientras trabajamos para actualizar recursos, como capturas de pantalla, vídeos y diagramas.
La información de este artículo puede ponerse en práctica en: ✔️ Básico o Estándar ✔️ Enterprise
En este artículo se muestra cómo usar las identidades administradas asignadas por el sistema y asignadas por el usuario para aplicaciones en Azure Spring Apps.
Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente en el identificador de Microsoft Entra a un recurso de Azure, como la aplicación en Azure Spring Apps. Puede usar esta identidad para autenticar a cualquier servicio que admita la autenticación de Microsoft Entra, sin necesidad de tener credenciales en el código.
Estado de la característica
| Asignada por el sistema | Asignada por el usuario |
|---|---|
| Disponibilidad general | GA |
Administración de la identidad administrada para una aplicación
En el caso de las identidades administradas asignadas por el sistema, consulte Habilitación y deshabilitación de la identidad administrada asignada por el sistema.
Para las identidades administradas asignadas por el usuario, consulte Asignación y eliminación de identidades administradas asignadas por el usuario.
Obtención de tokens para recursos de Azure
Una aplicación puede usar su identidad administrada para obtener tokens para acceder a otros recursos protegidos por el identificador de Microsoft Entra, como Azure Key Vault. Estos tokens representan a la aplicación que accede al recurso, no a un usuario específico de la aplicación.
Puede configurar el recurso de destino para permitir el acceso desde la aplicación. Para más información, consulte Asignación de acceso de una identidad administrada a un recurso mediante Azure Portal. Por ejemplo, si se solicita un token para acceder a Key Vault, asegúrese de haber agregado una directiva de acceso que incluya la identidad de la aplicación. De lo contrario, las llamadas a Key Vault se rechazarán, incluso si incluyen el token. Para obtener más información sobre los recursos que admiten tokens de Microsoft Entra, consulte Servicios de Azure que admiten autenticación de Microsoft Entra.
Azure Spring Apps y las máquinas virtuales de Azure comparten el mismo punto de conexión para la adquisición de tokens. Se recomienda usar el SDK de Java o iniciadores de Spring Boot para adquirir un token. Para ver varios ejemplos de código y script, así como instrucciones sobre temas importantes, como controlar la expiración de tokens y los errores HTTP, consulte Uso de identidades administradas para recursos de Azure en una máquina virtual de Azure para adquirir un token de acceso.
Ejemplos de conexión de servicios de Azure en el código de la aplicación
En la tabla siguiente se proporcionan vínculos a artículos que contienen ejemplos:
Procedimientos recomendados al usar identidades administradas
Se recomienda encarecidamente usar las identidades administradas asignadas por el sistema y las asignadas por el usuario por separado, a menos que tenga un caso de uso válido. Si usa ambos tipos de identidad administrada juntos, puede producirse un error si una aplicación usa una identidad administrada asignada por el sistema y la aplicación obtiene el token sin especificar el id. de cliente de esa identidad. Este escenario puede funcionar correctamente hasta que se asignen una o varias identidades administradas asignadas por el usuario a esa aplicación, es posible que la aplicación no obtenga el token correcto.
Limitaciones
Número máximo de identidades administradas asignadas por el usuario por aplicación
Para obtener el número máximo de identidades administradas asignadas por usuario por aplicación, consulte Cuotas y planes de servicio para Azure Spring Apps.
Asignación de conceptos
En la tabla siguiente se muestran las asignaciones entre conceptos en el ámbito de identidad administrada y el ámbito de Microsoft Entra:
| Ámbito de la identidad administrada | Ámbito de Microsoft Entra |
|---|---|
| Identificador de entidad de seguridad | Id. de objeto |
| Id. de cliente | Id. de solicitud |