Einrichten des einmaligen Anmeldens mithilfe von Microsoft Entra ID für Spring Cloud Gateway und das API-Portal
Hinweis
Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.
Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren des Plans „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.
Dieser Artikel gilt für: ❎ Basic/Standard ✅ Enterprise
In diesem Artikel wird gezeigt, wie Sie einmaliges Anmelden (Single Sign-On, SSO) für Spring Cloud Gateway oder das API-Portal mithilfe von Microsoft Entra ID als OpenID-Identitätsanbieter konfigurieren.
Voraussetzungen
- Instanz des Enterprise-Plans, für die Spring Cloud Gateway oder das API-Portal aktiviert ist. Weitere Informationen finden Sie unter Schnellstart: Erstellen und Bereitstellen von Anwendungen in Azure Spring Apps mit dem Enterprise Plan.
- Ausreichende Berechtigungen zum Verwalten von Microsoft Entra-Anwendungen
Damit SSO für Spring Cloud Gateway oder das API-Portal aktiviert werden kann, müssen die folgenden vier Eigenschaften konfiguriert sein:
SSO-Eigenschaft | Microsoft Entra Konfiguration |
---|---|
clientId | Siehe Registrieren der App |
clientSecret | Siehe Erstellen eines geheimen Clientschlüssels |
scope | Siehe Konfigurieren des Bereichs |
issuerUri | Siehe Erstellen des Aussteller-URI |
Sie konfigurieren die Eigenschaften in Microsoft Entra ID entsprechend den folgenden Schritten.
Zuweisen eines Endpunkts für Spring Cloud Gateway oder das API-Portal
Zunächst müssen Sie den zugewiesenen öffentlichen Endpunkt für Spring Cloud Gateway und das API-Portal erhalten, indem Sie die folgenden Schritte ausführen:
- Öffnen Sie im Azure-Portal die Dienstinstanz Ihres Enterprise-Plans.
- Wählen Sie im linken Menü unter VMware Tanzu-Komponenten die Option Spring Cloud Gateway oder API-Portal aus.
- Wählen Sie neben Endpunkt zuweisen die Option Ja aus.
- Kopieren Sie die URL für die Verwendung im nächsten Abschnitt dieses Artikels.
Erstellen einer Microsoft Entra-Anwendungsregistrierung
Registrieren Sie Ihre Anwendung, um eine Vertrauensstellung zwischen Ihrer App und Microsoft Identity Platform. Gehen Sie hierzu wie folgt vor:
- Wählen Sie auf dem Startbildschirm aus dem Menü links die Option Microsoft Entra ID aus.
- Wählen Sie unter Verwalten die Option App-Registrierungen und dann Neue Registrierung aus.
- Geben Sie unter Name einen Anzeigenamen für Ihre Anwendung ein, und wählen Sie dann einen Kontotyp aus, der unter Unterstützte Kontotypen registriert werden soll.
- Wählen Sie unter Umleitungs-URI (optional) die Option Web aus, und geben Sie dann die URL aus dem obigen Abschnitt in das Textfeld ein. Der Umleitungs-URI ist die Adresse, an die Microsoft Entra ID nach der Authentifizierung den Client umleitet und die Sicherheitstoken sendet.
- Wählen Sie Registrieren aus, um die Registrierung der Anwendung abzuschließen.
Wenn die Registrierung abgeschlossen ist, wird die Anwendungs-ID (Client) auf dem Bildschirm Übersicht der Seite App-Registrierungen* angezeigt.
Hinzufügen eines Umleitungs-URI zur App-Registrierung
Sie können auch Umleitungs-URIs nach der App-Registrierung hinzufügen, indem Sie die folgenden Schritte ausführen:
- Wählen Sie im linken Menü Ihrer Anwendungsübersicht unter Verwalten die Option Authentifizierung aus.
- Wählen Sie Web und dann unter Umleitungs-URIs die Option URI hinzufügen aus.
- Fügen Sie einen neuen Umleitungs-URI hinzu, und wählen Sie dann Speichern aus.
Weitere Informationen zur Anwendungsregistrierung finden Sie unter Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.
Hinzufügen eines geheimen Clientschlüssels
Die Anwendung verwendet einen geheimen Clientschlüssel, um sich im SSO-Workflow zu authentifizieren. Sie können einen geheimen Clientschlüssel wie folgt hinzufügen:
- Wählen Sie im linken Menü Ihrer Anwendungsübersicht unter Verwalten die Option Zertifikate und Geheimnisse aus.
- Wählen Sie Geheime Clientschlüssel und dann Neuer geheimer Clientschlüssel aus.
- Geben Sie eine Beschreibung für den geheimen Clientschlüssel ein, und legen Sie dann ein Ablaufdatum fest.
- Wählen Sie Hinzufügen.
Warnung
Denken Sie daran, den geheimen Clientschlüssel an einem sicheren Ort zu speichern. Sie können ihn nicht mehr abrufen, nachdem Sie die Seite verlassen haben. Der geheime Clientschlüssel muss bei der Anmeldung als Anwendung mit der Client-ID bereitgestellt werden.
Konfigurieren des Suchbereichs
Die Eigenschaft scope
von SSO ist eine Liste der Bereiche, die in JWT-Identitätstoken enthalten sein sollen. Oftmals werden sie auch als Berechtigungen bezeichnet. Identity Platform unterstützt mehrere OpenID Connect-Bereiche, z. B. openid
, email
und profile
. Weitere Informationen finden Sie unter Bereiche und Berechtigungen in Microsoft Identity Platform im Abschnitt OpenID Connect-Bereiche.
Konfigurieren des Aussteller-URI
Der Aussteller-URI ist der URI, der als Ausstellerbezeichner bestätigt wird. Wenn der angegebene Aussteller-URI z. B. https://example.com
lautet, wird eine OpenID-Anbieterkonfigurationsanforderung an https://example.com/.well-known/openid-configuration
ausgegeben.
Der Aussteller-URI der Microsoft Entra ID entspricht <authentication-endpoint>/<Your-TenantID>/v2.0
. Ersetzen Sie <authentication-endpoint>
durch den Authentifizierungsendpunkt für Ihre Cloudumgebung (z. B. https://login.microsoftonline.com
für globales Azure), und ersetzen Sie <Your-TenantID>
durch die Verzeichnis-ID (Mandanten-ID), in der die Anwendung registriert wurde.
Konfigurieren von SSO
Nachdem Sie Ihre Microsoft Entra-Anwendung konfiguriert haben, können Sie die SSO-Eigenschaften von Spring Cloud Gateway oder dem API-Portal folgendermaßen einrichten:
- Wählen Sie im linken Menü unter VMware Tanzu-Komponenten die Option Spring Cloud Gateway oder API-Portal aus, dann wählen Sie Konfiguration aus.
- Geben Sie die entsprechenden Felder
Scope
,Client Id
,Client Secret
undIssuer URI
ein. Trennen Sie mehrere Bereiche durch ein Komma. - Wählen Sie Speichern aus, um die SSO-Konfiguration zu aktivieren.
Hinweis
Denken Sie nach dem Konfigurieren von SSO-Eigenschaften daran, SSO für die Spring Cloud Gateway-Routen zu aktivieren, indem Sie ssoEnabled=true
festlegen. Weitere Informationen finden Sie unter Konfigurieren von Routen.