Включение управляемого удостоверения, назначаемого системой, для приложения в Azure Spring Apps

Примечание.

Планы "Базовый", "Стандартный" и "Корпоративный" будут устарели начиная с середины марта 2025 г. с 3-летнего периода выхода на пенсию. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.

Стандартный план потребления и выделенного плана будет устарел с 30 сентября 2024 г. с полным завершением работы после шести месяцев. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в статье "Миграция потребления Azure Spring Apps Standard" и выделенного плана в приложения контейнеров Azure.

Эта статья относится к: ✔️ Basic/Standard ✔️ Enterprise

В этой статье показано, как включить и отключить назначенные системой управляемые удостоверения для приложения Azure Spring Apps с помощью портала Azure и CLI.

Управляемые удостоверения для ресурсов Azure предоставляют автоматически управляемое удостоверение в идентификаторе Microsoft Entra для ресурса Azure, например приложения в Azure Spring Apps. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает аутентификацию Microsoft Entra, без использования учетных данных в коде.

Необходимые компоненты

Если вы не знакомы с управляемыми удостоверениями для ресурсов Azure, ознакомьтесь со сведениями об управляемых удостоверениях для ресурсов Azure?

Добавление назначаемого системой удостоверения

Для создания приложения с удостоверением, назначаемого системой, требуется задать другое свойство в приложении.

Чтобы настроить управляемое удостоверение на портале, сначала необходимо создать приложение, а затем активировать соответствующую функцию.

  1. Создайте приложение на портале обычным образом. Перейдите к нему на портале.
  2. Прокрутите вниз до группы Параметры в левой области навигации.
  3. Выберите Удостоверение.
  4. На вкладке Назначено системой для параметра Состояние установите значение Вкл. Выберите Сохранить.

Получение маркеров для ресурсов Azure

Приложение может использовать управляемое удостоверение для получения маркеров для доступа к другим ресурсам, защищенным идентификатором Microsoft Entra, например Azure Key Vault. Эти маркеры представляют приложение, получающее доступ к ресурсам, а не конкретного пользователя приложения.

Возможно, потребуется настроить целевой ресурс, чтобы включить доступ из приложения. Дополнительные сведения см. в статье "Назначение доступа к управляемому удостоверению" к ресурсу Azure или другому ресурсу. Например, если вы запрашиваете маркер для получения доступа к Key Vault, добавьте политику доступа, включающую в себя удостоверение приложения. В противном случае вызовы Key Vault отклоняются, даже если они включают маркер. Дополнительные сведения о том, какие ресурсы поддерживают маркеры Microsoft Entra, см . в службах Azure, которые могут использовать управляемые удостоверения для доступа к другим службам.

Azure Spring Apps использует одну и ту же конечную точку для получения маркера с помощью виртуальной машины Azure. Для получения токена рекомендуется использовать пакет SDK для Java или приложения Spring Boot Starter. Различные примеры кода и скриптов и рекомендации по важным темам, таким как обработка истечения срока действия маркера и ошибки HTTP, см. в статье Использование управляемых удостоверений для ресурсов Azure на виртуальной машине Azure для получения маркера доступа.

Отключение удостоверения, назначаемого системой, из приложения

Удаление удостоверения, назначаемого системой, также удаляет его из идентификатора Microsoft Entra. При удалении ресурса приложения автоматически удаляются удостоверения, назначенные системой, из идентификатора Microsoft Entra.

Выполните следующие действия, чтобы удалить управляемое удостоверение, назначаемое системой, из приложения, которое больше не требуется:

  1. Войдите на портал с помощью учетной записи, связанной с подпиской Azure, которая содержит экземпляр Azure Spring Apps.
  2. Перейдите к нужному приложению и выберите Удостоверение.
  3. В разделе Назначено системой/Состояние нажмите кнопку Выкл., а затем Сохранить.

Получение идентификатора клиента из идентификатора объекта (идентификатор субъекта)

Используйте следующую команду, чтобы получить идентификатор клиента из значения идентификатора объекта или субъекта:

az ad sp show --id <object-ID> --query appId

Следующие шаги