Использование управляемых удостоверений для приложений в Azure Spring Apps

Примечание.

Планы "Базовый", "Стандартный" и "Корпоративный" будут устарели начиная с середины марта 2025 г. с 3-летнего периода выхода на пенсию. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.

Стандартный план потребления и выделенного плана будет устарел с 30 сентября 2024 г. с полным завершением работы после шести месяцев. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в статье "Миграция потребления Azure Spring Apps Standard" и выделенного плана в приложения контейнеров Azure.

Эта статья относится к: ✔️ Basic/Standard ✔️ Enterprise

В этой статье показано, как применять назначаемые системой и пользователем управляемые удостоверения для приложений в Azure Spring Apps.

Управляемые удостоверения для ресурсов Azure предоставляют автоматически управляемое удостоверение в идентификаторе Microsoft Entra для ресурса Azure, например приложения в Azure Spring Apps. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает аутентификацию Microsoft Entra, без использования учетных данных в коде.

Состояние компонента

Назначаемое системой Назначаемое пользователем
Общедоступная версия Общедоступная версия

Управление управляемым удостоверением для приложения

Сведения об управляемых удостоверениях, назначаемых системой, см. в разделе Как включить и отключить управляемые удостоверения, назначаемые системой.

Сведения об управляемых удостоверениях, назначаемых пользователем, см. в разделе Как включить и отключить управляемые удостоверения, назначаемые пользователем.

Получение маркеров для ресурсов Azure

Приложение может использовать управляемое удостоверение для получения маркеров для доступа к другим ресурсам, защищенным идентификатором Microsoft Entra, например Azure Key Vault. Эти маркеры представляют приложение, получающее доступ к ресурсам, а не конкретного пользователя приложения.

Целевой ресурс можно настроить для включения доступа из приложения. Дополнительные сведения см. в статье "Назначение доступа к управляемому удостоверению" к ресурсу Azure или другому ресурсу. Например, если вы запрашиваете маркер для получения доступа к Key Vault, убедитесь, что вы добавили политику доступа, включающую в себя удостоверение приложения. В противном случае вызовы Key Vault будут отклонены, даже если они включают маркеры. Дополнительные сведения о том, какие ресурсы поддерживают токены Microsoft Entra, см. в службах Azure, поддерживающих проверку подлинности Microsoft Entra.

Azure Spring Apps использует одну и ту же конечную точку для получения маркера с помощью виртуальных машин Azure. Для получения токена рекомендуется использовать пакет SDK для Java или приложения Spring Boot Starter. Различные примеры кода и скриптов, а также рекомендации по важным темам, таким как обработка истечения срока действия маркера и ошибки HTTP, см. в статье "Использование управляемых удостоверений для ресурсов Azure на виртуальной машине Azure для получения маркера доступа".

Примеры подключения служб Azure в коде приложения

В следующей таблице приведены ссылки на статьи, содержащие примеры:

Служба Azure учебник
Key Vault Руководство. Использование управляемого удостоверения для подключения Key Vault к приложению Azure Spring Apps
Функции Azure Руководство. Использование управляемого удостоверения для вызова Функций Azure из приложения Azure Spring Apps
Azure SQL Использование управляемого удостоверения для подключения Базы данных SQL Azure к приложению Azure Spring Apps

Рекомендации по использованию управляемых удостоверений

Настоятельно рекомендуется применять управляемые удостоверения, назначаемые системой, и удостоверения, назначаемые пользователем, отдельно, если у вас нет допустимого варианта использования. При совместном применении обоих типов управляемых удостоверений может произойти сбой, если приложение использует управляемое удостоверение, назначаемое системой, и приложение получит маркер без указания идентификатора клиента этого удостоверения. Этот сценарий может работать нормально до тех пор, пока одно или несколько управляемых удостоверений, назначенных пользователем, назначены этому приложению, то приложение может не получить правильный маркер.

Ограничения

Максимальное количество управляемых удостоверений, назначаемых пользователем для каждого приложения

Максимальное количество управляемых удостоверений, назначаемых пользователем для каждого приложения, см. в разделе Квоты и планы обслуживания для Azure Spring Apps.


Сопоставление концепций

В следующей таблице показаны сопоставления понятий в области управляемого удостоверения и области Microsoft Entra:

Область управляемого удостоверения Область Microsoft Entra
Идентификатор субъекта Код объекта
Client ID Application ID

Следующие шаги