Usar identidades gerenciadas para aplicativos no Azure Spring Apps
Observação
Azure Spring Apps é o novo nome do serviço Azure Spring Cloud. Embora o serviço tenha um novo nome, você verá o nome antigo em alguns locais por um tempo enquanto trabalhamos para atualizar ativos como capturas de tela, vídeos e diagramas.
Este artigo se aplica ao: ✔️ nível Básico/Standard ✔️ nível Enterprise
Este artigo mostra como usar identidades gerenciadas atribuídas pelo sistema e atribuídas pelo usuário para aplicativos no Azure Spring Apps.
As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente na ID do Microsoft Entra para um recurso do Azure, como seu aplicativo nos Aplicativos Spring do Azure. Use essa identidade para autenticar qualquer serviço que dê suporte à autenticação do Microsoft Entra, sem a necessidade de ter as credenciais no código.
Status do recurso
| System-assigned | Atribuída pelo usuário |
|---|---|
| GA | GA |
Gerenciar a identidade gerenciada de um aplicativo
Para identidades gerenciadas atribuídas pelo sistema, consulte Como habilitar e desabilitar a identidade gerenciada atribuída pelo sistema.
Para identidades gerenciadas atribuídas pelo usuário, consulte Como atribuir e remover identidades gerenciadas atribuídas pelo usuário.
Obter tokens para recursos do Azure
Um aplicativo pode usar sua identidade gerenciada para obter tokens para acessar outros recursos protegidos pela ID do Microsoft Entra, como o Cofre de Chaves do Azure. Esses tokens representam o acesso do aplicativo ao recurso, não um usuário específico do aplicativo.
Você pode configurar o recurso de destino para permitir o acesso do seu aplicativo. Para obter mais informações, confira Atribuir o acesso de uma identidade gerenciada a um recurso usando o portal do Azure. Por exemplo, se você solicitar um token para acessar o Key Vault, verifique se adicionou uma política de acesso que inclui a identidade do aplicativo. Caso contrário, as chamadas para o Key Vault serão rejeitadas, mesmo se elas incluírem o token. Para saber mais sobre quais recursos dão suporte a tokens do Microsoft Entra, consulte os Serviços do Azure que dão suporte à autenticação do Microsoft Entra.
O Azure Spring Apps compartilha o mesmo ponto de extremidade para aquisição de token com a Máquinas Virtuais do Azure. É recomendável usar o Java SDK ou os iniciadores do Spring Boot para adquirir um token. Para obter vários exemplos de código e script, bem como orientações sobre tópicos importantes, como lidar com a expiração de token e erros HTTP, consulte Como usar identidades gerenciadas para recursos do Azure em uma VM do Azure para adquirir um token de acesso.
Exemplos de conexão de serviços do Azure no código do aplicativo
A seguinte tabela fornece links para artigos que contêm exemplos:
Melhores práticas ao usar identidades gerenciadas
É altamente recomendável que você use identidades gerenciadas atribuídas pelo sistema e atribuídas pelo usuário separadamente, a menos que você tenha um caso de uso válido. Se você usar os dois tipos de identidade gerenciada juntos, a falha poderá ocorrer se um aplicativo estiver usando a identidade gerenciada atribuída pelo sistema e o aplicativo receber o token sem especificar a ID do cliente dessa identidade. Esse cenário pode funcionar bem até que uma ou mais identidades gerenciadas atribuídas pelo usuário sejam atribuídas a esse aplicativo, então o aplicativo pode falhar ao obter o token correto.
Limitações
Número máximo de identidades gerenciadas atribuídas pelo usuário por aplicativo
Para obter o número máximo de identidades gerenciadas atribuídas pelo usuário por aplicativo, confira Cotas e Planos de Serviço para o Azure Spring Apps.
Mapeamento de conceito
A tabela a seguir mostra os mapeamentos entre os conceitos no escopo da Identidade Gerenciada e no escopo do Microsoft Entra:
| Escopo da Identidade Gerenciada | Escopo do Microsoft Entra |
|---|---|
| ID da entidade de segurança | ID de objeto |
| ID do Cliente | ID do Aplicativo |