Einrichten des einmaligen Anmeldens mithilfe von Microsoft Entra ID für Spring Cloud Gateway und das API-Portal

Dieser Artikel gilt für:❌ Basic/Standard ✔️ Enterprise

In diesem Artikel wird gezeigt, wie Sie einmaliges Anmelden (Single Sign-On, SSO) für Spring Cloud Gateway oder das API-Portal mithilfe von Microsoft Entra ID als OpenID-Identitätsanbieter konfigurieren.

Voraussetzungen

• Instanz des Enterprise-Plans, für die Spring Cloud Gateway oder das API-Portal aktiviert ist. Weitere Informationen finden Sie unter Schnellstart: Erstellen und Bereitstellen von Anwendungen in Azure Spring Apps mit dem Enterprise Plan.
• Ausreichende Berechtigungen zum Verwalten von Microsoft Entra-Anwendungen

Damit SSO für Spring Cloud Gateway oder das API-Portal aktiviert werden kann, müssen die folgenden vier Eigenschaften konfiguriert sein:

Sie konfigurieren die Eigenschaften in Microsoft Entra ID entsprechend den folgenden Schritten.

Zuweisen eines Endpunkts für Spring Cloud Gateway oder das API-Portal

Zunächst müssen Sie den zugewiesenen öffentlichen Endpunkt für Spring Cloud Gateway und das API-Portal erhalten, indem Sie die folgenden Schritte ausführen:

1. Öffnen Sie im Azure-Portal die Dienstinstanz Ihres Enterprise-Plans.
2. Wählen Sie im linken Menü unter VMware Tanzu-Komponenten die Option Spring Cloud Gateway oder API-Portal aus.
3. Wählen Sie neben Endpunkt zuweisen die Option Ja aus.
4. Kopieren Sie die URL für die Verwendung im nächsten Abschnitt dieses Artikels.

Erstellen einer Microsoft Entra-Anwendungsregistrierung

Registrieren Sie Ihre Anwendung, um eine Vertrauensstellung zwischen Ihrer App und Microsoft Identity Platform. Gehen Sie hierzu wie folgt vor:

1. Wählen Sie auf dem Startbildschirm aus dem Menü links die Option Microsoft Entra ID aus.
2. Wählen Sie unter Verwalten die Option App-Registrierungen und dann Neue Registrierung aus.
3. Geben Sie unter Name einen Anzeigenamen für Ihre Anwendung ein, und wählen Sie dann einen Kontotyp aus, der unter Unterstützte Kontotypen registriert werden soll.
4. Wählen Sie unter Umleitungs-URI (optional) die Option Web aus, und geben Sie dann die URL aus dem obigen Abschnitt in das Textfeld ein. Der Umleitungs-URI ist die Adresse, an die Microsoft Entra ID nach der Authentifizierung den Client umleitet und die Sicherheitstoken sendet.
5. Wählen Sie Registrieren aus, um die Registrierung der Anwendung abzuschließen.

Wenn die Registrierung abgeschlossen ist, wird die Anwendungs-ID (Client) auf dem Bildschirm Übersicht der Seite App-Registrierungen* angezeigt.

Hinzufügen eines Umleitungs-URI zur App-Registrierung

Sie können auch Umleitungs-URIs nach der App-Registrierung hinzufügen, indem Sie die folgenden Schritte ausführen:

1. Wählen Sie im linken Menü Ihrer Anwendungsübersicht unter Verwalten die Option Authentifizierung aus.
2. Wählen Sie Web und dann unter Umleitungs-URIs die Option URI hinzufügen aus.
3. Fügen Sie einen neuen Umleitungs-URI hinzu, und wählen Sie dann Speichern aus.

Weitere Informationen zur Anwendungsregistrierung finden Sie unter Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.

Hinzufügen eines geheimen Clientschlüssels

Die Anwendung verwendet einen geheimen Clientschlüssel, um sich im SSO-Workflow zu authentifizieren. Sie können einen geheimen Clientschlüssel wie folgt hinzufügen:

1. Wählen Sie im linken Menü Ihrer Anwendungsübersicht unter Verwalten die Option Zertifikate und Geheimnisse aus.
2. Wählen Sie Geheime Clientschlüssel und dann Neuer geheimer Clientschlüssel aus.
3. Geben Sie eine Beschreibung für den geheimen Clientschlüssel ein, und legen Sie dann ein Ablaufdatum fest.
4. Wählen Sie Hinzufügen.

Konfigurieren des Suchbereichs

Die Eigenschaft scope von SSO ist eine Liste der Bereiche, die in JWT-Identitätstoken enthalten sein sollen. Oftmals werden sie auch als Berechtigungen bezeichnet. Identity Platform unterstützt mehrere OpenID Connect-Bereiche, z. B. openid, email und profile. Weitere Informationen finden Sie unter Bereiche und Berechtigungen in Microsoft Identity Platform im Abschnitt OpenID Connect-Bereiche.

Konfigurieren des Aussteller-URI

Der Aussteller-URI ist der URI, der als Ausstellerbezeichner bestätigt wird. Wenn der angegebene Aussteller-URI z. B. https://example.com lautet, wird eine OpenID-Anbieterkonfigurationsanforderung an https://example.com/.well-known/openid-configuration ausgegeben.

Der Aussteller-URI der Microsoft Entra ID entspricht <authentication-endpoint>/<Your-TenantID>/v2.0. Ersetzen Sie <authentication-endpoint> durch den Authentifizierungsendpunkt für Ihre Cloudumgebung (z. B. https://login.microsoftonline.com für globales Azure), und ersetzen Sie <Your-TenantID>durch die Verzeichnis-ID (Mandanten-ID), in der die Anwendung registriert wurde.

Konfigurieren von SSO

Nachdem Sie Ihre Microsoft Entra-Anwendung konfiguriert haben, können Sie die SSO-Eigenschaften von Spring Cloud Gateway oder dem API-Portal folgendermaßen einrichten:

1. Wählen Sie im linken Menü unter VMware Tanzu-Komponenten die Option Spring Cloud Gateway oder API-Portal aus, dann wählen Sie Konfiguration aus.
2. Geben Sie die entsprechenden Felder Scope, Client Id, Client Secret und Issuer URI ein. Trennen Sie mehrere Bereiche durch ein Komma.
3. Wählen Sie Speichern aus, um die SSO-Konfiguration zu aktivieren.

Nächste Schritte

• Konfigurieren von Routen