Usare le identità gestite per le applicazioni in Azure Spring Apps
Nota
I piani Basic, Standard ed Enterprise saranno deprecati a partire dalla metà di marzo 2025, con un periodo di ritiro di 3 anni. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere l'annuncio di ritiro di Azure Spring Apps.
Il piano Standard a consumo e dedicato sarà deprecato a partire dal 30 settembre 2024, con un arresto completo dopo sei mesi. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere Eseguire la migrazione del consumo di Azure Spring Apps Standard e del piano dedicato alle app Azure Container.
Questo articolo si applica a: ✔️ Basic/Standard ✔️ Enterprise
Questo articolo illustra come usare le identità gestite assegnate dal sistema e assegnate dall'utente per le applicazioni in Azure Spring Apps.
Le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente in Microsoft Entra ID a una risorsa di Azure, ad esempio l'applicazione in Azure Spring Apps. È possibile usare questa identità per l'autenticazione in qualsiasi servizio che supporta l'autenticazione di Microsoft Entra senza dover immettere le credenziali nel codice.
Stato della funzionalità
| Assegnata dal sistema | Assegnata dall'utente |
|---|---|
| Disponibilità generale | Disponibilità generale |
Gestire l'identità gestita per un'applicazione
Per le identità gestite assegnate dal sistema, vedere Come abilitare e disabilitare l'identità gestita assegnata dal sistema.
Per le identità gestite assegnate dall'utente, vedere Come assegnare e rimuovere identità gestite assegnate dall'utente.
Ottenere i token per le risorse di Azure
Un'applicazione può usare la propria identità gestita per ottenere i token per accedere ad altre risorse protette dall'ID Microsoft Entra, ad esempio Azure Key Vault. Questi token rappresentano l'applicazione che accede alla risorsa, non un utente specifico dell'applicazione.
È possibile configurare la risorsa di destinazione per abilitare l'accesso dall'applicazione. Per altre informazioni, vedere Assegnare un accesso all'identità gestita a una risorsa di Azure o a un'altra risorsa. Ad esempio, se si richiede un token per accedere a Key Vault, assicurarsi di aver aggiunto un criterio di accesso che includa l'identità dell'applicazione. In caso contrario, le chiamate a Key Vault verranno rifiutate, anche se includono il token. Per altre informazioni sulle risorse che supportano i token di Microsoft Entra, vedere Servizi di Azure che supportano l'autenticazione di Microsoft Entra.
Azure Spring Apps condivide lo stesso endpoint per l'acquisizione di token con Azure Macchine virtuali. È consigliabile usare Java SDK o spring boot starter per acquisire un token. Per vari esempi di codice e script, nonché indicazioni su argomenti importanti come la gestione della scadenza dei token e gli errori HTTP, vedere Come usare le identità gestite per le risorse di Azure in una macchina virtuale di Azure per acquisire un token di accesso.
Esempi di connessione dei servizi di Azure nel codice dell'applicazione
La tabella seguente contiene collegamenti ad articoli contenenti esempi:
| Servizio di Azure | esercitazione |
|---|---|
| Insieme di credenziali delle chiavi di | Esercitazione: Usare un'identità gestita per connettere Key Vault a un'app Azure Spring Apps |
| Funzioni di Azure | Esercitazione: Usare un'identità gestita per richiamare Funzioni di Azure da un'app Azure Spring Apps |
| Azure SQL | Usare un'identità gestita per connettere database SQL di Azure a un'app Azure Spring Apps |
Procedure consigliate quando si usano le identità gestite
È consigliabile usare separatamente le identità gestite assegnate dal sistema e assegnate dall'utente, a meno che non si disponga di un caso d'uso valido. Se si usano entrambi i tipi di identità gestita, l'errore potrebbe verificarsi se un'applicazione usa un'identità gestita assegnata dal sistema e l'applicazione ottiene il token senza specificare l'ID client di tale identità. Questo scenario potrebbe funzionare correttamente fino a quando non vengono assegnate una o più identità gestite assegnate dall'utente a tale applicazione, l'applicazione potrebbe non riuscire a ottenere il token corretto.
Limiti
Numero massimo di identità gestite assegnate dall'utente per applicazione
Per il numero massimo di identità gestite assegnate dall'utente per applicazione, vedere Quote e piani di servizio per App Spring di Azure.
Mapping dei concetti
La tabella seguente illustra i mapping tra i concetti nell'ambito dell'identità gestita e l'ambito di Microsoft Entra:
| Ambito dell'identità gestita | Ambito di Microsoft Entra |
|---|---|
| ID entità di sicurezza | ID dell'oggetto. |
| ID client | ID applicazione |