spring-bootの公式リファレンスに載っているのですが、Spring Boot ActuatorのCloudFoundry連携機能とSpring Securityを同時に使う場合、Spring Boot Actuatorが提供するエンドポイントである/cloudfoundryapplication以下をSpring Securityによる認証対象から外す必要があります。なお、/cloudfoundryapplication以下はCloudFoundryのUAAトークン認証で保護されているので、Spring Securityの認証対象外にしても認証なしで外部に曝される訳ではありません。PCF側のドキュメントには載っていなかったのでメモ。

 

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .mvcMatchers("/cloudfoundryapplication/**")
                .permitAll()
            .mvcMatchers("/mypath")
                .hasAnyRole("SUPERUSER")
            .anyRequest()
                .authenticated().and()
        .httpBasic();
}

https://docs.spring.io/spring-boot/docs/current/reference/html/production-ready-cloudfoundry.html