Gestire le identità gestite assegnate dall'utente per un'applicazione in Azure Spring Apps

Questo articolo si applica a: ✔️ Basic/Standard ✔️ Enterprise

Questo articolo illustra come assegnare o rimuovere identità gestite assegnate dall'utente per un'applicazione in Azure Spring Apps, usando il portale di Azure e l'interfaccia della riga di comando di Azure.

Le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente in Microsoft Entra ID a una risorsa di Azure, ad esempio l'applicazione in Azure Spring Apps. È possibile usare questa identità per l'autenticazione in qualsiasi servizio che supporta l'autenticazione di Microsoft Entra senza dover immettere le credenziali nel codice.

Prerequisiti

• Se non si ha familiarità con le identità gestite per le risorse di Azure, vedere Che cosa sono le identità gestite per le risorse di Azure?

Assegnare identità gestite assegnate dall'utente durante la creazione di un'applicazione

Creare un'applicazione e assegnare contemporaneamente un'identità gestita assegnata dall'utente usando il comando seguente:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Assegnare identità gestite assegnate dall'utente a un'applicazione esistente

L'assegnazione dell'identità gestita assegnata dall'utente richiede l'impostazione di un'altra proprietà nell'applicazione.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Ottenere i token per le risorse di Azure

Un'applicazione può usare la propria identità gestita per ottenere i token per accedere ad altre risorse protette dall'ID Microsoft Entra, ad esempio Azure Key Vault. Questi token rappresentano l'applicazione che accede alla risorsa, non un utente specifico dell'applicazione.

Potrebbe essere necessario configurare la risorsa di destinazione per abilitare l'accesso dall'applicazione. Per altre informazioni, vedere Assegnare un accesso all'identità gestita a una risorsa di Azure o a un'altra risorsa. Ad esempio, se si richiede un token per accedere a Key Vault, assicurarsi di aver aggiunto un criterio di accesso che includa l'identità dell'applicazione. In caso contrario, le chiamate a Key Vault vengono rifiutate, anche se includono il token. Per altre informazioni sulle risorse che supportano i token Microsoft Entra, vedere Servizi di Azure che supportano l'autenticazione di Microsoft Entra

Azure Spring Apps condivide lo stesso endpoint per l'acquisizione di token con Azure Macchine virtuali. È consigliabile usare Java SDK o spring boot starter per acquisire un token. Per vari esempi di codice e script e indicazioni su argomenti importanti, ad esempio la gestione della scadenza dei token e gli errori HTTP, vedere Come usare le identità gestite per le risorse di Azure in una macchina virtuale di Azure per acquisire un token di accesso.

Rimuovere le identità gestite assegnate dall'utente da un'app esistente

La rimozione delle identità gestite assegnate dall'utente rimuove l'assegnazione tra le identità e l'applicazione e non elimina le identità stesse.

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

Limiti

Per le limitazioni delle identità gestite assegnate dall'utente, vedere Quote e piani di servizio per Azure Spring Apps.

Passaggi successivi

• Informazioni sulle identità gestite per le risorse di Azure
• Come usare le identità gestite con Java SDK