Abilitare l'identità gestita assegnata dal sistema per un'applicazione in Azure Spring Apps
Nota
I piani Basic, Standard ed Enterprise saranno deprecati a partire dalla metà di marzo 2025, con un periodo di ritiro di 3 anni. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere l'annuncio di ritiro di Azure Spring Apps.
Il piano Standard a consumo e dedicato sarà deprecato a partire dal 30 settembre 2024, con un arresto completo dopo sei mesi. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere Eseguire la migrazione del consumo di Azure Spring Apps Standard e del piano dedicato alle app Azure Container.
Questo articolo si applica a:✅ Basic/Standard ✅ Enterprise
Questo articolo illustra come abilitare e disabilitare le identità gestite assegnate dal sistema per un'applicazione in Azure Spring Apps usando il portale di Azure e l'interfaccia della riga di comando.
Le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente in Microsoft Entra ID a una risorsa di Azure, ad esempio l'applicazione in Azure Spring Apps. È possibile usare questa identità per l'autenticazione in qualsiasi servizio che supporta l'autenticazione di Microsoft Entra senza dover immettere le credenziali nel codice.
Prerequisiti
Se non si ha familiarità con le identità gestite per le risorse di Azure, vedere Che cosa sono le identità gestite per le risorse di Azure?
- Un'istanza del piano Enterprise di Azure Spring Apps di cui è già stato effettuato il provisioning. Per altre informazioni, vedere Avvio rapido: Creare e distribuire app in Azure Spring Apps usando il piano Enterprise.
- Interfaccia della riga di comando di Azure versione 2.45.0 o successive.
- L'estensione Azure Spring Apps per l'interfaccia della riga di comando di Azure supporta l'identità gestita assegnata dall'utente con la versione 1.0.0 o successiva. Usare il comando seguente per rimuovere le versioni precedenti e installare l'estensione più recente:
az extension remove --name spring az extension add --name spring
- Un'istanza di Azure Spring Apps già di cui è stato effettuato il provisioning. Per altre informazioni, vedere Avvio rapido: Distribuire la prima applicazione in Azure Spring Apps.
- Interfaccia della riga di comando di Azure versione 2.45.0 o successiva.
- L'estensione Azure Spring Apps per l'interfaccia della riga di comando di Azure supporta l'identità gestita assegnata dall'utente con la versione 1.0.0 o successiva. Usare il comando seguente per rimuovere le versioni precedenti e installare l'estensione più recente:
az extension remove --name spring az extension add --name spring
Aggiungere un'identità assegnata dal sistema
La creazione di un'app con un'identità assegnata dal sistema richiede l'impostazione di un'altra proprietà nell'applicazione.
Per configurare un'identità gestita nel portale, creare prima un'app e quindi abilitare la funzionalità.
- Creare un'app nel portale come di consueto. Accedervi nel portale.
- Scorrere verso il basso fino al gruppo Impostazioni nel riquadro di spostamento a sinistra.
- Selezionare Identità.
- All'interno della scheda Assegnata dal sistema impostare Stato su Attivato. Seleziona Salva.
Ottenere i token per le risorse di Azure
Un'app può usare l'identità gestita per ottenere i token per accedere ad altre risorse protette dall'ID Entra Di Microsoft, ad esempio Azure Key Vault. Questi token rappresentano l'applicazione che accede alla risorsa, non un utente specifico dell'applicazione.
Potrebbe essere necessario configurare la risorsa di destinazione per abilitare l'accesso dall'applicazione. Per altre informazioni, vedere Assegnare un accesso all'identità gestita a una risorsa di Azure o a un'altra risorsa. Ad esempio, se si richiede un token per accedere a Key Vault, assicurarsi di aver aggiunto un criterio di accesso che includa l'identità dell'applicazione. In caso contrario, le chiamate a Key Vault vengono rifiutate, anche se includono il token. Per altre informazioni sulle risorse che supportano i token Microsoft Entra, vedere Servizi di Azure che possono usare le identità gestite per accedere ad altri servizi.
Azure Spring Apps condivide lo stesso endpoint per l'acquisizione di token con la macchina virtuale di Azure. È consigliabile usare Java SDK o gli starter spring boot per acquisire un token. Per vari esempi di codice e script e indicazioni su argomenti importanti, ad esempio la gestione della scadenza dei token e degli errori HTTP, vedere Come usare le identità gestite per le risorse di Azure in una macchina virtuale di Azure per acquisire un token di accesso.
Disabilitare l'identità assegnata dal sistema da un'app
Rimuovendo un'identità assegnata dal sistema, viene eliminata anche dall'ID Microsoft Entra. L'eliminazione della risorsa dell'app rimuove automaticamente le identità assegnate dal sistema dall'ID Microsoft Entra.
Usare la procedura seguente per rimuovere l'identità gestita assegnata dal sistema da un'app che non è più necessaria:
- Accedere al portale usando un account associato alla sottoscrizione di Azure che contiene l'istanza di Azure Spring Apps.
- Passare all'applicazione desiderata e selezionare Identità.
- In Stato assegnato/dal sistema selezionare No e quindi selezionare Salva:
Ottenere l'ID client dall'ID oggetto (ID entità)
Usare il comando seguente per ottenere l'ID client dal valore di ID oggetto/entità:
az ad sp show --id <object-ID> --query appId