Usar identidades gerenciadas para aplicativos no Azure Spring Apps

Observação

Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de desativação de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.

O plano Standard de consumo e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano Standard de consumo e dedicado dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.

Este artigo se aplica ao: ✔️ nível Básico/Standard ✔️ nível Enterprise

Este artigo mostra como usar identidades gerenciadas atribuídas pelo sistema e atribuídas pelo usuário para aplicativos no Azure Spring Apps.

As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente no Microsoft Entra ID para um recurso do Azure, como o aplicativo nos Aplicativos Spring do Azure. Use essa identidade para autenticar qualquer serviço que dê suporte à autenticação do Microsoft Entra, sem a necessidade de ter as credenciais no código.

Status do recurso

System-assigned Atribuída pelo usuário
GA GA

Gerenciar a identidade gerenciada de um aplicativo

Para identidades gerenciadas atribuídas pelo sistema, consulte Como habilitar e desabilitar a identidade gerenciada atribuída pelo sistema.

Para identidades gerenciadas atribuídas pelo usuário, consulte Como atribuir e remover identidades gerenciadas atribuídas pelo usuário.

Obter tokens para recursos do Azure

Um aplicativo pode usar sua identidade gerenciada para obter tokens que acessam outros recursos protegidos pelo Microsoft Entra ID, como o Azure Key Vault. Esses tokens representam o acesso do aplicativo ao recurso, não um usuário específico do aplicativo.

Você pode configurar o recurso de destino para habilitar o acesso do aplicativo. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciada a um recurso do Azure ou a outro recurso. Por exemplo, se você solicitar um token para acessar o Key Vault, verifique se adicionou uma política de acesso que inclui a identidade do aplicativo. Caso contrário, as chamadas para o Key Vault serão rejeitadas, mesmo se elas incluírem o token. Para saber mais sobre quais recursos dão suporte a tokens do Microsoft Entra, consulte os Serviços do Azure que dão suporte à autenticação do Microsoft Entra.

O Azure Spring Apps compartilha o mesmo ponto de extremidade para aquisição de token com a Máquinas Virtuais do Azure. É recomendável usar o Java SDK ou os iniciadores do Spring Boot para adquirir um token. Para obter vários exemplos de código e script e diretrizes sobre tópicos importantes, como tratamento de expiração de token e erros HTTP, consulte Como usar identidades gerenciadas para recursos do Azure em uma VM do Azure para adquirir um token de acesso.

Exemplos de conexão de serviços do Azure no código do aplicativo

A seguinte tabela fornece links para artigos que contêm exemplos:

Serviço do Azure tutorial
Key Vault Tutorial: Usar uma identidade gerenciada para conectar o Key Vault a um aplicativo do Azure Spring Apps
Azure Functions Tutorial: Usar uma identidade gerenciada para invocar o Azure Functions em um aplicativo do Azure Spring Apps
SQL do Azure Usar uma identidade gerenciada para conectar o Banco de Dados SQL do Azure a um aplicativo Azure Spring Apps

Melhores práticas ao usar identidades gerenciadas

É altamente recomendável que você use identidades gerenciadas atribuídas pelo sistema e atribuídas pelo usuário separadamente, a menos que você tenha um caso de uso válido. Se você usar os dois tipos de identidade gerenciada juntos, a falha poderá ocorrer se um aplicativo estiver usando a identidade gerenciada atribuída pelo sistema e o aplicativo receber o token sem especificar a ID do cliente dessa identidade. Esse cenário pode funcionar bem até que uma ou mais identidades gerenciadas atribuídas pelo usuário sejam atribuídas a esse aplicativo, então o aplicativo poderá não conseguir obter o token correto.

Limitações

Número máximo de identidades gerenciadas atribuídas pelo usuário por aplicativo

Para obter o número máximo de identidades gerenciadas atribuídas pelo usuário por aplicativo, confira Cotas e Planos de Serviço para o Azure Spring Apps.


Mapeamento de conceito

A seguinte tabela mostra os mapeamentos entre os conceitos no escopo da Identidade Gerenciada e no escopo do Microsoft Entra:

Escopo da Identidade Gerenciada Escopo do Microsoft Entra
ID da entidade de segurança ID de objeto
ID do Cliente Application ID

Próximas etapas