Partilhar via

Gerenciar identidades gerenciadas atribuídas pelo usuário para um aplicativo no Azure Spring Apps

  • Artigo

Nota

Azure Spring Apps é o novo nome para o serviço Azure Spring Cloud. Embora o serviço tenha um novo nome, você verá o nome antigo em alguns lugares por um tempo enquanto trabalhamos para atualizar ativos, como capturas de tela, vídeos e diagramas.

Este artigo aplica-se a: ✔️ Basic/Standard ✔️ Enterprise

Este artigo mostra como atribuir ou remover identidades gerenciadas atribuídas pelo usuário para um aplicativo no Azure Spring Apps, usando o portal do Azure e a CLI do Azure.

As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente no Microsoft Entra ID para um recurso do Azure, como seu aplicativo no Azure Spring Apps. Pode utilizar esta identidade para se autenticar em qualquer serviço que suporte a autenticação do Microsoft Entra sem ter credenciais no código.

Pré-requisitos

  • Uma instância de plano do Azure Spring Apps Enterprise já provisionada. Para obter mais informações, consulte Guia de início rápido: criar e implantar aplicativos no Azure Spring Apps usando o plano Enterprise.
  • Azure CLI versão 2.45.0 ou superior.
  • A extensão do Azure Spring Apps para CLI do Azure dá suporte à identidade gerenciada atribuída pelo usuário do aplicativo com a versão 1.0.0 ou posterior. Use o seguinte comando para remover versões anteriores e instalar a extensão mais recente: 
    az extension remove --name spring
az extension add --name spring
  • Pelo menos uma identidade gerenciada atribuída pelo usuário já provisionada. Para obter mais informações, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.
  • Uma instância do Azure Spring Apps já provisionada. Para obter mais informações, consulte Guia de início rápido: implantar seu primeiro aplicativo no Azure Spring Apps.
  • Azure CLI versão 2.45.0 ou superior.
  • A extensão do Azure Spring Apps para CLI do Azure dá suporte à identidade gerenciada atribuída pelo usuário do aplicativo com a versão 1.0.0 ou posterior. Use o seguinte comando para remover versões anteriores e instalar a extensão mais recente: 
    az extension remove --name spring
az extension add --name spring
  • Pelo menos uma identidade gerenciada atribuída pelo usuário já provisionada. Para obter mais informações, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

Atribuir identidades gerenciadas atribuídas pelo usuário ao criar um aplicativo

Crie um aplicativo e atribua identidade gerenciada atribuída pelo usuário ao mesmo tempo usando o seguinte comando:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Atribuir identidades gerenciadas atribuídas pelo usuário a um aplicativo existente

A atribuição de identidade gerenciada atribuída pelo usuário requer a definição de outra propriedade no aplicativo.

Para atribuir identidade gerenciada atribuída pelo usuário a um aplicativo existente no portal do Azure, siga estas etapas:

  1. Navegue até um aplicativo no portal do Azure como faria normalmente.
  2. Role para baixo até o grupo Configurações no painel de navegação esquerdo.
  3. Selecione Identidade.
  4. Na guia Usuário atribuído, selecione Adicionar.
  5. Escolha uma ou mais identidades gerenciadas atribuídas pelo usuário no painel direito e selecione Adicionar neste painel.

Obter tokens para recursos do Azure

Um aplicativo pode usar sua identidade gerenciada para obter tokens para acessar outros recursos protegidos pelo Microsoft Entra ID, como o Azure Key Vault. Esses tokens representam o aplicativo que acessa o recurso, não qualquer usuário específico do aplicativo.

Talvez seja necessário configurar o recurso de destino para permitir o acesso do seu aplicativo. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciado a um recurso usando o portal do Azure. Por exemplo, se você solicitar um token para acessar o Cofre da Chave, certifique-se de ter adicionado uma política de acesso que inclua a identidade do seu aplicativo. Caso contrário, suas chamadas para o Cofre da Chave serão rejeitadas, mesmo que incluam o token. Para saber mais sobre quais recursos oferecem suporte a tokens do Microsoft Entra, consulte Serviços do Azure que oferecem suporte à autenticação do Microsoft Entra

O Azure Spring Apps partilha o mesmo ponto de extremidade para aquisição de tokens com as Máquinas Virtuais do Azure. Recomendamos o uso de Java SDK ou Spring Boot starters para adquirir um token. Para obter vários exemplos de código e script e orientação sobre tópicos importantes, como manipulação de expiração de token e erros HTTP, consulte Como usar identidades gerenciadas para recursos do Azure em uma VM do Azure para adquirir um token de acesso.

Remover identidades gerenciadas atribuídas pelo usuário de um aplicativo existente

A remoção de identidades gerenciadas atribuídas pelo usuário remove a atribuição entre as identidades e o aplicativo e não exclui as próprias identidades.

Para remover identidades gerenciadas atribuídas pelo usuário de um aplicativo que não precisa mais dele, siga estas etapas:

  1. Entre no portal do Azure usando uma conta associada à assinatura do Azure que contém a instância do Azure Spring Apps.
  2. Navegue até o aplicativo desejado e selecione Identidade.
  3. Em Usuário atribuído, selecione identidades de destino e, em seguida, selecione Remover.

Limitações

Para limitações de identidade gerenciada atribuídas pelo usuário, consulte Cotas e planos de serviço para o Azure Spring Apps.

Próximos passos