Habilitar uma identidade gerenciada atribuída pelo sistema para um aplicativo no Azure Spring Apps

Observação

Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de desativação de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.

O plano Standard de consumo e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano Standard de consumo e dedicado dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.

Este artigo se aplica ao: ✔️ nível Básico/Standard ✔️ nível Enterprise

Este artigo mostra como habilitar e desabilitar identidades gerenciadas atribuídas ao sistema para um aplicativo do Azure Spring Apps, usando o portal e a CLI do Azure.

As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente no Microsoft Entra ID para um recurso do Azure, como o aplicativo nos Aplicativos Spring do Azure. Use essa identidade para autenticar qualquer serviço que dê suporte à autenticação do Microsoft Entra, sem a necessidade de ter as credenciais no código.

Pré-requisitos

Se você não estiver familiarizado com as identidades gerenciadas dos recursos do Azure, confira O que são as identidades gerenciadas dos recursos do Azure?

  • Uma instância do plano Enterprise dos Aplicativos Spring do Azure já provisionada. Para obter mais informações, confira Início Rápido: criar e implantar aplicativos nos Aplicativos Spring do Azure usando o plano Enterprise.
  • CLI do Azure versão 2.45.0 ou superior.
  • A extensão dos Aplicativos Spring do Azure para CLI do Azure dá suporte à identidade gerenciada atribuída pelo usuário do aplicativo com a versão 1.0.0 ou posterior. Use o comando a seguir para remover versões anteriores e instalar a extensão mais recente:
    az extension remove --name spring
    az extension add --name spring
    
  • Uma instância do Azure Spring Apps já provisionada. Para obter mais informações, confira Início Rápido: implantar o seu primeiro aplicativo ao Azure Spring Apps.
  • CLI do Azure versão 2.45.0 ou superior.
  • A extensão dos Aplicativos Spring do Azure para CLI do Azure dá suporte à identidade gerenciada atribuída pelo usuário do aplicativo com a versão 1.0.0 ou posterior. Use o comando a seguir para remover versões anteriores e instalar a extensão mais recente:
    az extension remove --name spring
    az extension add --name spring
    

Adicionar uma identidade atribuída pelo sistema

A criação de um aplicativo com uma identidade atribuída pelo sistema requer a definição de outra propriedade no aplicativo.

Para configurar uma identidade gerenciada no portal, primeiro, crie um aplicativo e, em seguida, habilite o recurso.

  1. Crie um aplicativo no portal, como você faria normalmente. Navegue até ele no portal.
  2. Role a página para baixo até o grupo Configurações no painel de navegação esquerdo.
  3. Selecionar Identidade.
  4. Na guia Sistema atribuído, alterne o Status para Ligado. Selecione Salvar.

Obter tokens para recursos do Azure

Um aplicativo pode usar sua identidade gerenciada para obter tokens para acessar outros recursos protegidos pelo Microsoft Entra ID, como o Azure Key Vault. Esses tokens representam o acesso do aplicativo ao recurso, não um usuário específico do aplicativo.

Talvez seja necessário configurar o recurso de destino para permitir o acesso a partir do seu aplicativo. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciada a um recurso do Azure ou a outro recurso. Por exemplo, se você solicitar um token para acessar o Key Vault, adicione uma política de acesso que inclui a identidade do aplicativo. Caso contrário, suas chamadas para o Key Vault serão rejeitadas, mesmo se elas incluírem o token. Para saber mais sobre quais recursos oferecem suporte a tokens do Microsoft Entra, consulte Serviços do Azure que podem usar identidades gerenciadas para acessar outros serviços.

O Azure Spring Apps compartilha o mesmo ponto de extremidade para aquisição de token com a Máquina Virtual do Azure. É recomendável usar o Java SDK ou os iniciadores do Spring Boot para adquirir um token. Para obter vários exemplos de código e script e diretrizes sobre tópicos importantes, como tratamento de expiração de token e erros HTTP, consulte Como usar identidades gerenciadas para recursos do Azure em uma VM do Azure para adquirir um token de acesso.

Desabilitar uma identidade atribuída ao sistema de um aplicativo

A remoção de uma identidade atribuída pelo sistema também a exclui do Microsoft Entra ID. A exclusão do recurso do aplicativo remove automaticamente as identidades atribuídas pelo sistema do Microsoft Entra ID.

Use as etapas a seguir para remover a identidade gerenciada atribuída pelo sistema de um aplicativo que não precisa mais dela:

  1. Entre no portal usando uma conta associada à assinatura do Azure que contém a instância do Azure Spring Apps.
  2. Navegue até o aplicativo desejado e selecione Identidade.
  3. Em Atribuído pelo sistema/Status, selecione Desativado e, em seguida, selecione Salvar:

Obter a ID do cliente da ID do objeto (ID da entidade de segurança)

Use o seguinte comando para obter o ID do cliente a partir do valor do ID do objeto/principal:

az ad sp show --id <object-ID> --query appId

Próximas etapas