Beheerde identiteiten gebruiken voor toepassingen in Azure Spring Apps
Notitie
Azure Spring Apps is de nieuwe naam voor de Azure Spring Cloud-service. Hoewel de service een nieuwe naam heeft, ziet u de oude naam op sommige plaatsen terwijl we werken aan het bijwerken van assets, zoals schermopnamen, video's en diagrammen.
Dit artikel is van toepassing op: ✔️ Basic/Standard ✔️ Enterprise
In dit artikel leest u hoe u door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten gebruikt voor toepassingen in Azure Spring Apps.
Beheerde identiteiten voor Azure-resources bieden een automatisch beheerde identiteit in Microsoft Entra-id voor een Azure-resource, zoals uw toepassing in Azure Spring Apps. U kunt deze identiteit gebruiken voor verificatie bij alle services die Microsoft Entra-verificatie ondersteunen, zonder dat u aanmeldingsgegevens in uw code hoeft te hebben.
Functiestatus
| Door het systeem toegewezen | Door de gebruiker toegewezen |
|---|---|
| GA | GA |
Beheerde identiteit voor een toepassing beheren
Zie Hoe u door het systeem toegewezen beheerde identiteiten inschakelt en uitschakelt.
Zie Voor door de gebruiker toegewezen beheerde identiteiten het toewijzen en verwijderen van door de gebruiker toegewezen beheerde identiteiten.
Tokens verkrijgen voor Azure-resources
Een toepassing kan de beheerde identiteit gebruiken om tokens op te halen voor toegang tot andere resources die worden beveiligd door Microsoft Entra-id, zoals Azure Key Vault. Deze tokens vertegenwoordigen de toepassing die toegang heeft tot de resource, niet een specifieke gebruiker van de toepassing.
U kunt de doelresource configureren om toegang vanuit uw toepassing toe te staan. Zie Een beheerde identiteit toegang tot een resource toewijzen met behulp van Azure Portal voor meer informatie. Als u bijvoorbeeld een token aanvraagt voor toegang tot Key Vault, moet u ervoor zorgen dat u een toegangsbeleid hebt toegevoegd dat de identiteit van uw toepassing bevat. Anders worden uw aanroepen naar Key Vault geweigerd, zelfs als ze het token bevatten. Zie Azure-services die ondersteuning bieden voor Microsoft Entra-verificatie voor meer informatie over welke resources Ondersteuning bieden voor Microsoft Entra-tokens.
Azure Spring Apps deelt hetzelfde eindpunt voor het verkrijgen van tokens met Azure Virtual Machines. Het is raadzaam om Java SDK of Spring Boot-starters te gebruiken om een token te verkrijgen. Zie Beheerde identiteiten gebruiken voor Azure-resources op een Azure-VM om een toegangstoken te verkrijgen voor verschillende code- en scriptvoorbeelden, evenals richtlijnen voor belangrijke onderwerpen, zoals het afhandelen van verloop- en HTTP-fouten van tokens.
Voorbeelden van het verbinden van Azure-services in toepassingscode
De volgende tabel bevat koppelingen naar artikelen die voorbeelden bevatten:
Aanbevolen procedures bij het gebruik van beheerde identiteiten
We raden u ten zeerste aan om door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten afzonderlijk te gebruiken, tenzij u een geldige use-case hebt. Als u beide soorten beheerde identiteit samen gebruikt, kan er een fout optreden als een toepassing een door het systeem toegewezen beheerde identiteit gebruikt en de toepassing het token ophaalt zonder de client-id van die identiteit op te geven. Dit scenario werkt mogelijk prima totdat een of meer door de gebruiker toegewezen beheerde identiteiten aan die toepassing zijn toegewezen. De toepassing kan dan het juiste token niet ophalen.
Beperkingen
Maximum aantal door de gebruiker toegewezen beheerde identiteiten per toepassing
Zie Quota en serviceplannen voor Azure Spring Apps voor het maximum aantal door de gebruiker toegewezen beheerde identiteiten per toepassing.
Concepttoewijzing
In de volgende tabel ziet u de toewijzingen tussen concepten in managed identity-bereik en Microsoft Entra-bereik:
| Bereik van beheerde identiteit | Microsoft Entra-bereik |
|---|---|
| Principal-id | Object-id |
| Client ID | Toepassings-id |