Configurar o logon único usando o Microsoft Entra ID para o Spring Cloud Gateway e o API Portal
Nota
Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.
O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.
Este artigo aplica-se a:❌ Basic/Standard ✔️ Enterprise
Este artigo mostra como configurar o logon único (SSO) para o Spring Cloud Gateway ou o API Portal usando o Microsoft Entra ID como um provedor de identificação OpenID.
Pré-requisitos
- Uma instância do plano Enterprise com o Spring Cloud Gateway ou o portal da API ativado. Para obter mais informações, consulte Guia de início rápido: criar e implantar aplicativos no Azure Spring Apps usando o plano Enterprise.
- Permissões suficientes para gerenciar aplicativos Microsoft Entra.
Para habilitar o SSO para o Spring Cloud Gateway ou o API Portal, você precisa das quatro propriedades a seguir configuradas:
| Propriedade SSO | Configuração do Microsoft Entra |
|---|---|
| clientId | Consulte Registrar aplicativo |
| clientSecret | Consulte Criar segredo do cliente |
| âmbito | Consulte Configurar escopo |
| emissorUri | Consulte Gerar URI do emissor |
Você configurará as propriedades no Microsoft Entra ID nas etapas a seguir.
Atribuir um ponto de extremidade para o Spring Cloud Gateway ou o API Portal
Primeiro, você deve obter o ponto de extremidade público atribuído para o Spring Cloud Gateway e o portal da API seguindo estas etapas:
- Abra sua instância de serviço do plano Enterprise no portal do Azure.
- Selecione Spring Cloud Gateway ou API portal em componentes VMware Tanzu no menu à esquerda.
- Selecione Sim ao lado de Atribuir ponto de extremidade.
- Copie o URL para uso na próxima seção deste artigo.
Criar um registro de aplicativo Microsoft Entra
Registre seu aplicativo para estabelecer uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft usando as seguintes etapas:
- Na tela inicial, selecione Microsoft Entra ID no menu à esquerda.
- Selecione Registos de Aplicações em Gerir e, em seguida, selecione Novo registo.
- Introduza um nome para apresentação da sua aplicação em Nome e, em seguida, selecione um tipo de conta para registar em Tipos de conta suportados.
- Em Redirecionar URI (opcional), selecione Web e insira o URL da seção acima na caixa de texto. O URI de redirecionamento é o local onde o Microsoft Entra ID redireciona seu cliente e envia tokens de segurança após a autenticação.
- Selecione Registrar para concluir o registro do aplicativo.
Quando o registro terminar, você verá o ID do aplicativo (cliente) na tela Visão geral da página Registros do aplicativo*.
Adicionar um URI de redirecionamento após o registro do aplicativo
Você também pode adicionar URIs de redirecionamento após o registro do aplicativo seguindo estas etapas:
- Na visão geral do aplicativo, em Gerenciar no menu à esquerda, selecione Autenticação.
- Selecione Web e, em seguida, selecione Adicionar URI em Redirecionar URIs.
- Adicione um novo URI de redirecionamento e selecione Salvar.
Para obter mais informações sobre o registro de aplicativos, consulte Guia de início rápido: registrar um aplicativo com a plataforma de identidade da Microsoft.
Adicionar um segredo de cliente
O aplicativo usa um segredo de cliente para autenticar-se no fluxo de trabalho SSO. Você pode adicionar um segredo do cliente usando as seguintes etapas:
- Na visão geral do aplicativo, em Gerenciar no menu à esquerda, selecione Certificados & segredos.
- Selecione Segredos do cliente e, em seguida, selecione Novo segredo do cliente.
- Insira uma descrição para o segredo do cliente e defina uma data de validade.
- Selecione Adicionar.
Aviso
Lembre-se de salvar o segredo do cliente em um lugar seguro. Não é possível recuperá-lo depois de sair desta página. O segredo do cliente deve ser fornecido com a ID do cliente quando você entra como o aplicativo.
Configurar escopo
A scope propriedade de SSO é uma lista de escopos a serem incluídos nos tokens de identidade JWT. Eles são muitas vezes referidos como permissões. A plataforma de identidade suporta vários escopos do OpenID Connect, como openid, emaile profile. Para obter mais informações, consulte a seção Escopos do OpenID Connect de Escopos e permissões na plataforma de identidade da Microsoft.
Configurar o URI do emissor
O URI do emissor é o URI que é declarado como seu Identificador do Emissor. Por exemplo, se o issuer-uri fornecido for https://example.com, uma Solicitação de Configuração do Provedor OpenID será feita para https://example.com/.well-known/openid-configuration.
O URI do emissor do Microsoft Entra ID é como <authentication-endpoint>/<Your-TenantID>/v2.0. Substitua <authentication-endpoint> pelo ponto de extremidade de autenticação para seu ambiente de nuvem (por exemplo, https://login.microsoftonline.com para o Azure global) e substitua <Your-TenantID> pela ID do diretório (locatário) onde o aplicativo foi registrado.
Configurar SSO
Depois de configurar seu aplicativo Microsoft Entra, você pode configurar as propriedades SSO do Spring Cloud Gateway ou do API Portal seguindo estas etapas:
- Selecione Spring Cloud Gateway ou API portal em componentes VMware Tanzu no menu esquerdo e, em seguida, selecione Configuração.
- Insira o
Scope,Client Id,Client SecreteIssuer URInos campos apropriados. Separe vários escopos com uma vírgula. - Selecione Salvar para habilitar a configuração de SSO.
Nota
Depois de configurar as propriedades do SSO, lembre-se de habilitar o SSO para as rotas do Spring Cloud Gateway definindo ssoEnabled=true. Para obter mais informações, consulte Configuração de rota.