Aktivera systemtilldelad hanterad identitet för ett program i Azure Spring Apps

Kommentar

Azure Spring Apps är det nya namnet på Azure Spring Cloud-tjänsten. Även om tjänsten har ett nytt namn ser du det gamla namnet på vissa platser ett tag medan vi arbetar med att uppdatera tillgångar som skärmbilder, videor och diagram.

Den här artikeln gäller för: ✔️ Basic/Standard ✔️ Enterprise

Den här artikeln visar hur du aktiverar och inaktiverar systemtilldelade hanterade identiteter för ett program i Azure Spring Apps med hjälp av Azure-portalen och CLI.

Hanterade identiteter för Azure-resurser ger en automatiskt hanterad identitet i Microsoft Entra-ID till en Azure-resurs, till exempel ditt program i Azure Spring Apps. Du kan använda den här identiteten för att autentisera mot alla tjänster som har stöd för Microsoft Entra-autentisering, utan att behöva ha några autentiseringsuppgifter i koden.

Förutsättningar

Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa Vad är hanterade identiteter för Azure-resurser?

• En redan etablerad Azure Spring Apps Enterprise-planinstans. Mer information finns i Snabbstart: Skapa och distribuera appar till Azure Spring Apps med hjälp av Enterprise-planen.
• Azure CLI version 2.45.0 eller senare.
• Azure Spring Apps-tillägget för Azure CLI stöder appanvändartilldelad hanterad identitet med version 1.0.0 eller senare. Använd följande kommando för att ta bort tidigare versioner och installera det senaste tillägget:

  az extension remove --name spring
  az extension add --name spring
  

• En redan etablerad Azure Spring Apps-instans. Mer information finns i Snabbstart: Distribuera ditt första program till Azure Spring Apps.
• Azure CLI version 2.45.0 eller senare.
• Azure Spring Apps-tillägget för Azure CLI stöder appanvändartilldelad hanterad identitet med version 1.0.0 eller senare. Använd följande kommando för att ta bort tidigare versioner och installera det senaste tillägget:

  az extension remove --name spring
  az extension add --name spring
  

Lägga till en systemtilldelad identitet

Om du skapar en app med en systemtilldelad identitet måste du ange en annan egenskap i programmet.

Portal

Om du vill konfigurera en hanterad identitet i portalen skapar du först en app och aktiverar sedan funktionen.

1. Skapa en app i portalen som vanligt. Gå till den i portalen.
2. Rulla ned till gruppen Inställningar i det vänstra navigeringsfönstret.
3. Välj Identitet.
4. På fliken Systemtilldelat växlar du Status till På. Välj Spara.

Azure CLI

Du kan aktivera systemtilldelad hanterad identitet när appen skapas eller i en befintlig app.

Aktivera systemtilldelad hanterad identitet när en app skapas

I följande exempel skapas en app med namnet app_name med en systemtilldelad hanterad identitet på begäran av parametern --assign-identity .

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Aktivera systemtilldelad hanterad identitet i en befintlig app**

Använd az spring app identity assign kommandot för att aktivera den systemtilldelade identiteten i en befintlig app.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Hämta token för Azure-resurser

En app kan använda sin hanterade identitet för att hämta token för att få åtkomst till andra resurser som skyddas av Microsoft Entra-ID, till exempel Azure Key Vault. Dessa token representerar programmet som kommer åt resursen, inte någon specifik användare av programmet.

Du kan behöva konfigurera målresursen för att tillåta åtkomst från ditt program. Om du till exempel begär en token för åtkomst till Key Vault kontrollerar du att du har lagt till en åtkomstprincip som innehåller programmets identitet. Annars avvisas dina anrop till Key Vault, även om de innehåller token. Mer information om vilka resurser som stöder Microsoft Entra-token finns i Azure-tjänster som kan använda hanterade identiteter för att få åtkomst till andra tjänster.

Azure Spring Apps delar samma slutpunkt för tokenförvärv med Azure Virtual Machine. Vi rekommenderar att du använder Java SDK eller spring boot starter för att hämta en token. Olika kod- och skriptexempel och vägledning om viktiga ämnen som att hantera förfallodatum för token och HTTP-fel finns i Använda hanterade identiteter för Azure-resurser på en virtuell Azure-dator för att hämta en åtkomsttoken.

Inaktivera systemtilldelad identitet från en app

Om du tar bort en systemtilldelad identitet tas den också bort från Microsoft Entra-ID. Om du tar bort appresursen tas systemtilldelade identiteter automatiskt bort från Microsoft Entra-ID.

Portal

Använd följande steg för att ta bort systemtilldelad hanterad identitet från en app som inte längre behöver den:

1. Logga in på portalen med ett konto som är associerat med Azure-prenumerationen som innehåller Azure Spring Apps-instansen.
2. Navigera till önskat program och välj Identitet.
3. Under Systemtilldelat/status väljer du Av och sedan Spara:

Azure CLI

Om du vill ta bort systemtilldelad hanterad identitet från en app som inte längre behöver den använder du följande kommando:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Hämta klient-ID:t från objekt-ID :t (huvudnamns-ID)

Använd följande kommando för att hämta klient-ID:t från objektets/huvudnamnets ID-värde:

az ad sp show --id <object-ID> --query appId

---

Nästa steg

• Vad är hanterade identiteter för Azure-resurser?
• Använda hanterade identiteter med Java SDK