Condividi tramite

Gestire le identità gestite assegnate dall'utente per un'applicazione in Azure Spring Apps

  • Articolo

Nota

Azure Spring Apps è il nuovo nome del servizio Azure Spring Cloud. Anche se il servizio ha un nuovo nome, il nome precedente verrà visualizzato in alcune posizioni per un po' mentre si lavora per aggiornare gli asset, ad esempio screenshot, video e diagrammi.

Questo articolo si applica a: ✔️ Basic/Standard ✔️ Enterprise

Questo articolo illustra come assegnare o rimuovere identità gestite assegnate dall'utente per un'applicazione in Azure Spring Apps, usando il portale di Azure e l'interfaccia della riga di comando di Azure.

Le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente in Microsoft Entra ID a una risorsa di Azure, ad esempio l'applicazione in Azure Spring Apps. È possibile usare questa identità per l'autenticazione in qualsiasi servizio che supporta l'autenticazione di Microsoft Entra senza dover immettere le credenziali nel codice.

Prerequisiti

  • Un'istanza del piano Enterprise di Azure Spring Apps già di cui è stato effettuato il provisioning. Per altre informazioni, vedere Avvio rapido: Creare e distribuire app in Azure Spring Apps usando il piano Enterprise.
  • Interfaccia della riga di comando di Azure versione 2.45.0 o successiva.
  • L'estensione Azure Spring Apps per l'interfaccia della riga di comando di Azure supporta l'identità gestita assegnata dall'utente con la versione 1.0.0 o successiva. Usare il comando seguente per rimuovere le versioni precedenti e installare l'estensione più recente: 
    az extension remove --name spring
az extension add --name spring
  • Almeno un'identità gestita assegnata dall'utente di cui è già stato effettuato il provisioning. Per altre informazioni, vedere Gestire le identità gestite assegnate dall'utente.
  • Un'istanza di Azure Spring Apps già di cui è stato effettuato il provisioning. Per altre informazioni, vedere Avvio rapido: Distribuire la prima applicazione in Azure Spring Apps.
  • Interfaccia della riga di comando di Azure versione 2.45.0 o successiva.
  • L'estensione Azure Spring Apps per l'interfaccia della riga di comando di Azure supporta l'identità gestita assegnata dall'utente con la versione 1.0.0 o successiva. Usare il comando seguente per rimuovere le versioni precedenti e installare l'estensione più recente: 
    az extension remove --name spring
az extension add --name spring
  • Almeno un'identità gestita assegnata dall'utente di cui è già stato effettuato il provisioning. Per altre informazioni, vedere Gestire le identità gestite assegnate dall'utente.

Assegnare identità gestite assegnate dall'utente durante la creazione di un'applicazione

Creare un'applicazione e assegnare contemporaneamente un'identità gestita assegnata dall'utente usando il comando seguente:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Assegnare identità gestite assegnate dall'utente a un'applicazione esistente

L'assegnazione dell'identità gestita assegnata dall'utente richiede l'impostazione di un'altra proprietà nell'applicazione.

Per assegnare un'identità gestita assegnata dall'utente a un'applicazione esistente nel portale di Azure, seguire questa procedura:

  1. Passare a un'applicazione nel portale di Azure come normalmente si farebbe.
  2. Scorrere verso il basso fino al gruppo Impostazioni nel riquadro di spostamento a sinistra.
  3. Selezionare Identità.
  4. Nella scheda Assegnata dall'utente selezionare Aggiungi.
  5. Scegliere una o più identità gestite assegnate dall'utente nel pannello destro e quindi selezionare Aggiungi da questo pannello.

Ottenere i token per le risorse di Azure

Un'applicazione può usare la propria identità gestita per ottenere i token per accedere ad altre risorse protette dall'ID Microsoft Entra, ad esempio Azure Key Vault. Questi token rappresentano l'applicazione che accede alla risorsa, non un utente specifico dell'applicazione.

Potrebbe essere necessario configurare la risorsa di destinazione per consentire l'accesso dall'applicazione. Per altre informazioni, vedere Assegnare un accesso all'identità gestita a una risorsa usando il portale di Azure. Ad esempio, se si richiede un token per accedere a Key Vault, assicurarsi di aver aggiunto un criterio di accesso che includa l'identità dell'applicazione. In caso contrario, le chiamate a Key Vault vengono rifiutate, anche se includono il token. Per altre informazioni sulle risorse che supportano i token Microsoft Entra, vedere Servizi di Azure che supportano l'autenticazione di Microsoft Entra

Azure Spring Apps condivide lo stesso endpoint per l'acquisizione di token con Azure Macchine virtuali. È consigliabile usare Java SDK o spring boot starter per acquisire un token. Per vari esempi di codice e script e indicazioni su argomenti importanti, ad esempio la gestione della scadenza dei token e gli errori HTTP, vedere Come usare le identità gestite per le risorse di Azure in una macchina virtuale di Azure per acquisire un token di accesso.

Rimuovere le identità gestite assegnate dall'utente da un'app esistente

La rimozione delle identità gestite assegnate dall'utente rimuove l'assegnazione tra le identità e l'applicazione e non elimina le identità stesse.

Per rimuovere le identità gestite assegnate dall'utente da un'applicazione che non è più necessaria, seguire questa procedura:

  1. Accedere al portale di Azure usando un account associato alla sottoscrizione di Azure che contiene l'istanza di Azure Spring Apps.
  2. Passare all'applicazione desiderata e selezionare Identità.
  3. In Assegnata dall'utente selezionare Identità di destinazione e quindi selezionare Rimuovi.

Limiti

Per le limitazioni delle identità gestite assegnate dall'utente, vedere Quote e piani di servizio per Azure Spring Apps.

Passaggi successivi