Activer une identité managée affectée par le système pour une application dans Azure Spring Apps

Remarque

Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce de mise hors service d’Azure Spring Apps.

Le plan de consommation standard et dédiée sera déconseillé à compter du 30 septembre 2024, avec un arrêt complet après six mois. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer le plan de consommation standard et dédiée Azure Spring Apps vers Azure Container Apps.

Cet article s’applique au : Niveau ✔️ De base/Standard ✔️ Entreprise

Cet article explique comment activer et désactiver les identités managées affectées par le système pour une application dans Azure Spring Apps, à l’aide du portail Azure et de l’interface CLI.

Les identités managées pour les ressources Azure fournissent une identité managée automatiquement dans Microsoft Entra ID à une ressource Azure telle que votre application dans Azure Spring Apps. Vous pouvez utiliser cette identité pour vous authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra, sans avoir d’informations d’identification dans votre code.

Prérequis

Si vous ne connaissez pas les identités managées pour les ressources Azure, consultez Qu’est-ce que les identités managées pour les ressources Azure ?

  • Une instance Azure Spring Apps déjà provisionnée. Pour plus d’informations, consultez Démarrage rapide : Déployer votre première application sur Azure Spring Apps.
  • Azure CLI version 2.45.0 ou ultérieure.
  • L’extension Azure Spring Apps pour Azure CLI prend en charge l’identité managée affectée par l’utilisateur avec la version 1.0.0 ou ultérieure. Utilisez la commande suivante pour supprimer les versions précédentes et installer l’extension la plus récente :
    az extension remove --name spring
    az extension add --name spring
    

Ajouter une identité affectée par le système

La création d’une application avec une identité affectée par le système nécessite la définition d’une autre propriété sur cette application.

Pour configurer une identité managée à partir du portail Azure, commencez par créer une application, puis activez la fonctionnalité.

  1. Créez une application dans le portail, comme vous le feriez normalement. Accédez-y dans le portail.
  2. Faites défiler l'écran jusqu'au groupe Paramètres dans le volet de navigation gauche.
  3. Sélectionnez Identité.
  4. Dans l’onglet Attribuée par le système, définissez État sur Activé. Cliquez sur Enregistrer.

Obtenir des jetons pour les ressources Azure

Une application peut utiliser son identité managée pour obtenir des jetons afin d’accéder à d’autres ressources protégées par Microsoft Entra ID, comme Azure Key Vault. Ces jetons représentent l'application qui accède à la ressource, et non un utilisateur spécifique de l'application.

Vous devrez peut-être configurer la ressource cible pour activer l’accès à partir de votre application. Pour plus d’informations, consultez Attribuer à une identité managée l’accès à une ressource Azure ou à une autre ressource. Par exemple, si vous demandez un jeton pour accéder à Key Vault, vérifiez que vous avez ajouté une stratégie d'accès qui inclut l'identité de votre application. Sinon, vos appels à Key Vault sont rejetés, même s’ils incluent le jeton. Pour en savoir plus sur les ressources qui prennent en charge les jetons Microsoft Entra, consultez Services Azure pouvant utiliser des identités managées pour accéder à d’autres services.

Azure Spring Apps partage le même point de terminaison pour l’acquisition de jetons auprès d’Azure Virtual Machine. Nous vous recommandons d’utiliser le SDK Java ou des instances Spring Boot Starters pour acquérir un jeton. Pour obtenir des exemples de code et de script différents et des conseils sur des sujets importants tels que la gestion de l’expiration des jetons et des erreurs HTTP, consultez Guide pratique de l’utilisation d’identités managées pour ressources Azure sur une machine virtuelle Azure afin d’acquérir un jeton d’accès.

Désactiver l'identité affectée par le système d'une application

Si vous supprimez une identité attribuée par le système, vous la supprimez également de Microsoft Entra ID. La suppression de la ressource d’application supprime automatiquement les identités affectées par le système de Microsoft Entra ID.

Utilisez les étapes suivantes pour supprimer l’identité managée affectée par le système d’une application qui n’en a plus besoin :

  1. Connectez-vous au portail Azure à l’aide d’un compte associé à l’abonnement Azure qui contient l’instance d’Azure Spring Apps.
  2. Accédez à l’application souhaitée et sélectionnez Identité.
  3. Sous Affectée par le système/État, sélectionnez Désactivé, puis cliquez sur Enregistrer :

Obtenir l’ID client à partir de l’ID objet (ID principal)

Utilisez la commande suivante pour obtenir l’ID client à partir de la valeur de l’ID objet/principal :

az ad sp show --id <object-ID> --query appId

Étapes suivantes