Verwenden verwalteter Identitäten für App Service und Azure Functions

Artikel
06/01/2023

In diesem Artikel erfahren Sie, wie eine verwaltete Identität für App Service- und Azure Functions-Anwendungen erstellt und für den Zugriff auf andere Ressourcen verwendet wird.

Wichtig

Verwaltete Identitäten für App Service und Azure Functions verhalten sich nicht wie erwartet, wenn Ihre App abonnement- bzw. mandantenübergreifend migriert wird. Die App muss eine neue Identität abrufen. Zu diesem Zweck deaktivieren Sie die Funktion und aktivieren Sie anschließend erneut. Für nachgeschaltete Ressourcen müssen außerdem die Zugriffsrichtlinien für die Verwendung der neuen Identität aktualisiert werden.

Hinweis

Verwaltete Identitäten sind für Apps, die in Azure Arc bereitgestellt sind, nicht verfügbar.

Über eine verwaltete Identität aus Azure Active Directory (Azure AD) kann Ihre App einfach auf andere durch Azure AD geschützte Ressourcen wie Azure Key Vault zugreifen. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren. Weitere Informationen zu verwalteten Identitäten in Azure AD finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Ihrer Anwendung können zwei Arten von Identitäten zugewiesen werden:

Eine systemseitig zugewiesene Identität ist an Ihre Anwendung gebunden und wird gelöscht, wenn Ihre App gelöscht wird. Eine App kann nur über eine systemseitig zugewiesene Identität verfügen.
Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrer App zugewiesen werden kann. Eine App kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

Hinzufügen einer systemseitig zugewiesenen Identität

Scrollen Sie im linken Navigationsbereich der Seite Ihrer App nach unten zur Gruppe Einstellungen.
Wählen Sie Identität aus.
Ändern Sie auf der Registerkarte Systemseitig zugewiesen den Status in Ein. Klicken Sie auf Speichern.

Hinweis

Um die verwaltete Identität für Ihre Web-App oder Slot-App im Azure-Portal zu finden, sehen Sie unter Unternehmensanwendungen im Abschnitt Benutzereinstellungen nach. In der Regel lautet der Slotname ähnlich wie <app name>/slots/<slot name>.

Führen Sie den Befehl az webapp identity assign aus, um eine vom System zugewiesene Identität zu erstellen:

az webapp identity assign --name myApp --resource-group myResourceGroup

Für App Service

Führen Sie den Befehl Set-AzWebApp -AssignIdentity aus, um eine vom System zugewiesene Identität für App Service zu erstellen:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name>

Für Funktionen

Führen Sie den Befehl Update-AzFunctionApp -IdentityType aus, um eine vom System zugewiesene Identität für eine Funktions-App zu erstellen:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

Mithilfe einer Azure Resource Manager-Vorlage kann die Bereitstellung Ihrer Azure-Ressourcen automatisiert werden. Weitere Informationen zum Bereitstellen von App Service und Azure Functions finden Sie unter Automatisieren der Ressourcenbereitstellung in App Service und Automatisieren der Ressourcenbereitstellung in Azure Functions.

Ressourcen vom Typ Microsoft.Web/sites können mit einer Identität erstellt werden, indem die folgende Eigenschaft in der Ressourcendefinition eingeschlossen wird:

"identity": {
    "type": "SystemAssigned"
}

Durch das Hinzufügen des systemseitig zugewiesenen Typs wird Azure angewiesen, die Identität für Ihre Anwendung zu erstellen und zu verwalten.

Eine Vorlage der Web-App kann beispielsweise wie die folgende JSON aussehen:

{
    "apiVersion": "2016-08-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Wenn die Website erstellt wurde, weist sie folgende zusätzliche Eigenschaften auf:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<TENANTID>",
    "principalId": "<PRINCIPALID>"
}

Die tenantId-Eigenschaft gibt an, zu welchem Azure AD-Mandanten die Identität gehört. Die Eigenschaft „principalId“ ist ein eindeutiger Bezeichner für die neue Identität der Anwendung. In Azure AD weist der Dienstprinzipal den gleichen Namen auf, den Sie für Ihre App Service- oder Azure Functions-Instanz vergeben haben.

Wenn Sie in einer späteren Phase in der Vorlage auf diese Eigenschaften verweisen müssen, können Sie dies über die reference()-Vorlagenfunktion mit dem Flag 'Full' erledigen, wie in diesem Beispiel gezeigt:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Hinzufügen einer benutzerseitig zugewiesenen Identität

Für das Erstellen einer App mit einer benutzerseitig zugewiesenen Identität müssen Sie die Identität erstellen und dann den Ressourcenbezeichner der Identität zu Ihrer App-Konfiguration hinzufügen.

Zunächst müssen Sie eine Ressource für eine benutzerseitig zugewiesene Identität erstellen.

Folgen Sie zum Erstellen einer benutzerseitig verwalteten Identitätsressource diesen Anweisungen.
Scrollen Sie im linken Navigationsbereich der Seite Ihrer App nach unten zur Gruppe Einstellungen.
Wählen Sie Identität aus.
Klicken Sie auf der Registerkarte Benutzerseitig zugewiesen auf Hinzufügen.
Suchen Sie nach der zuvor erstellten Identität, und wählen Sie sie aus. Klicken Sie auf Hinzufügen.

Wichtig

Wenn Sie Hinzufügen auswählen, nachdem Sie eine benutzerseitig zugewiesene Identität zum Hinzufügen ausgewählt haben, wird Ihre Anwendung neu gestartet.

Erstellen Sie eine benutzerseitig zugewiesene Identität.

az identity create --resource-group <group-name> --name <identity-name>

Führen Sie den Befehl az webapp identity assign aus, um die Identität der App zuzuweisen.

az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-name>

Für App Service

Das Hinzufügen einer vom Benutzer zugewiesenen Identität in App Service wird derzeit nicht unterstützt.

Für Funktionen

Erstellen Sie eine benutzerseitig zugewiesene Identität.

Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>

Führen Sie den Befehl Update-AzFunctionApp -IdentityType UserAssigned -IdentityId aus, um die Identität in Funktionen zuzuweisen.

Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id

Ressourcen vom Typ Microsoft.Web/sites können mit einer Identität erstellt werden, indem den folgenden Block in die Ressourcendefinition einschließen. Ersetzen Sie hierbei <RESOURCEID> durch die Ressourcen-ID der gewünschten Identität:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {}
    }
}

Hinweis

Eine Anwendung kann gleichzeitig sowohl über systemseitig als auch über benutzerseitig zugewiesene Identitäten verfügen. In diesem Fall erhält die type-Eigenschaft den Wert SystemAssigned,UserAssigned.

Durch das Hinzufügen des benutzerseitig zugewiesenen Typs wird Azure angewiesen, die vom Benutzer zugewiesene Identität zu verwenden, die für Ihre Anwendung angegeben ist.

Eine Vorlage der Web-App kann beispielsweise wie die folgende JSON aussehen:

{
    "apiVersion": "2016-08-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Wenn die Website erstellt wurde, weist sie folgende zusätzliche Eigenschaften auf:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
        }
    }
}

„principalId“ ist ein eindeutiger Bezeichner für die Identität, der bei der Azure AD-Verwaltung verwendet wird. „clientId“ ist ein eindeutiger Bezeichner für die neue Identität der Anwendung, der bei Runtimeaufrufen angibt, welche Identität verwendet werden soll.

Zielressource konfigurieren

Sie müssen die Zielressource möglicherweise für den Zugriff über die App oder Funktion konfigurieren. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie auch eine Zugriffsrichtlinie hinzufügen, die die verwaltete Identität Ihrer App oder Funktion enthält. Andernfalls werden Ihre Aufrufe von Key Vault abgelehnt, auch wenn Sie ein gültiges Token verwenden. Dasselbe gilt für Azure SQL-Datenbank. Informationen zu den Ressourcen, die Azure Active Directory-Token unterstützen, finden Sie unter Azure-Dienste, die die Azure AD-Authentifizierung unterstützen.

Wichtig

Die Back-End-Dienste für verwaltete Identitäten behalten pro Ressourcen-URI für ca. 24 Stunden einen Cache bei. Wenn Sie die Zugriffsrichtlinie einer bestimmten Zielressource aktualisieren und sofort ein Token für diese Ressource abrufen, erhalten Sie möglicherweise weiterhin ein zwischengespeichertes Token mit veralteten Berechtigungen, bis dieses Token abläuft. Zurzeit gibt es keine Möglichkeit, eine Tokenaktualisierung zu erzwingen.

Verbinden mit Azure-Diensten im App-Code

Mit der verwalteten Identität kann eine App Token für Azure-Ressourcen abrufen, die durch Azure Active Directory geschützt sind, z. B. Azure SQL-Datenbank, Azure Key Vault und Azure Storage. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, nicht einen bestimmten Benutzer der Anwendung.

App Service und Azure Functions einen intern zugänglichen REST-Endpunkt für den Tokenabruf bereitstellen. Auf den REST-Endpunkt kann innerhalb der App mit einem HTTP GET-Standard zugegriffen werden, der mit einem generischen HTTP-Client in jeder Sprache implementiert werden kann. Für .NET, JavaScript, Java und Python bietet die Azure Identity-Clientbibliothek eine Abstraktion über diesen REST-Endpunkt und vereinfacht die Entwicklungserfahrung. Das Herstellen einer Verbindung mit anderen Azure-Diensten ist so einfach wie das Hinzufügen eines Anmeldeinformationsobjekts zum dienstspezifischen Client.

Eine unformatierte HTTP GET-Anforderung sieht wie im folgenden Beispiel aus:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Eine Beispielantwort könnte folgendermaßen aussehen:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Diese Antwort ist mit der Antwort auf die Zugriffstokenanforderung zwischen zwei Azure AD-Diensten identisch. Um auf Key Vault zugreifen zu können, fügen Sie den Wert access_token einer Clientverbindung mit dem Tresor hinzu.

Hinweis

Beim Herstellen einer Verbindung mit Azure SQL-Datenquellen mit Entity Framework Core empfiehlt sich die Verwendung von Microsoft.Data.SqlClient, das spezielle Verbindungszeichenfolgen für Verbindungen mit verwalteten Identitäten bietet. Ein Beispiel finden Sie unter Tutorial: Schützen der Azure SQL-Datenbank-Verbindung von App Service mittels einer verwalteten Identität.

In .NET-Apps und -Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek mit einer verwalteten Identität zu arbeiten. Ausführliche Anleitungen finden Sie im Tutorial: Herstellen einer Verbindung mit Azure-Datenbanken aus App Service ohne Geheimnisse mithilfe einer verwalteten Identität.

Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

In den verknüpften Beispielen wird DefaultAzureCredential verwendet. Dies ist für die meisten Szenarien nützlich, da das gleiche Muster in Azure (mit verwalteten Identitäten) und auf Ihrem lokalen Computer (ohne verwaltete Identitäten) funktioniert.

In Node.js-Apps und JavaScript-Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek für JavaScript mit einer verwalteten Identität zu arbeiten. Ausführliche Anleitungen finden Sie im Tutorial: Herstellen einer Verbindung mit Azure-Datenbanken aus App Service ohne Geheimnisse mithilfe einer verwalteten Identität.

Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

Weitere Codebeispiele für die Azure Identity-Clientbibliothek für JavaScript finden Sie unter Beispiele für Azure-Identitäten.

In Python-Apps und -Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek für Pythonmit einer verwalteten Identität zu arbeiten. Ausführliche Anleitungen finden Sie im Tutorial: Herstellen einer Verbindung mit Azure-Datenbanken aus App Service ohne Geheimnisse mithilfe einer verwalteten Identität.

Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

In Java-Apps und -Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek für Java mit einer verwalteten Identität zu arbeiten. Ausführliche Anleitungen finden Sie im Tutorial: Herstellen einer Verbindung mit Azure-Datenbanken aus App Service ohne Geheimnisse mithilfe einer verwalteten Identität.

Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

Weitere Codebeispiele für die Azure Identity-Clientbibliothek für Java finden Sie unter Beispiele für Azure-Identitäten.

Verwenden Sie das folgende Skript, um ein Token vom lokalen Endpunkt abzurufen, indem Sie einen Ressourcen-URI eines Azure-Diensts angeben:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Weitere Informationen zum REST-Endpunkt finden Sie in der REST-Endpunktreferenz.

Entfernen einer Identität

Wenn Sie eine vom System zugewiesene Identität entfernen, wird sie aus der Azure Active Directory gelöscht. Vom System zugewiesene Identitäten werden auch automatisch aus dem Azure Active Directory gelöscht, wenn Sie die App-Ressource selbst löschen.

Scrollen Sie im linken Navigationsbereich der Seite Ihrer App nach unten zur Gruppe Einstellungen.
Wählen Sie Identität aus. Führen Sie dann die Schritte basierend auf dem Identitätstyp aus:
- Vom System zugewiesene Identität: Ändern Sie auf der Registerkarte Vom System zugewiesen den Status zu Aus. Klicken Sie auf Speichern.
- Vom Benutzer zugewiesene Identität: Klicken Sie auf die Registerkarte Vom Benutzer zugewiesen, aktivieren Sie das Kontrollkästchen für die Identität, und klicken Sie auf Entfernen. Klicken Sie zum Bestätigen auf Ja.

Um die systemseitig zugewiesene Identität zu entfernen:

az webapp identity remove --name <app-name> --resource-group <group-name>

So entfernen Sie eine oder mehrere vom Benutzer zugewiesene Identitäten:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-name1>,<identity-name2>,...

Sie können die systemseitig zugewiesene Identität auch entfernen, indem Sie in [system]--identities angeben.

Für App Service

Führen Sie den Befehl Set-AzWebApp -AssignIdentity aus, um eine vom System zugewiesene Identität für App Service zu entfernen:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name>

Für Funktionen

So entfernen Sie alle Identitäten in Azure PowerShell (nur Azure Functions):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

So entfernen Sie alle Identitäten in einer ARM-Vorlage:

"identity": {
    "type": "None"
}

Hinweis

Es gibt auch eine Anwendungseinstellung, die festgelegt werden kann (WEBSITE_DISABLE_MSI). Hierdurch wird nur der lokale Tokendienst deaktiviert. Die Identität bleibt jedoch erhalten, und Tools zeigen die verwaltete Identität weiterhin als "ein" oder "aktiviert" an. Daher wird die Verwendung dieser Einstellung nicht empfohlen.

REST-Endpunktverweis

Eine App mit einer verwalteten Identität macht diesen Endpunkt verfügbar, indem zwei Umgebungsvariablen definiert werden:

IDENTITY_ENDPOINT: die URL zum lokalen Tokendienst
IDENTITY_HEADER: ein Header, der als Maßnahme gegen SSRF-Angriffe (Server-Side Request Forgery) verwendet wird. Der Wert wird von der Plattform rotiert.

Bei IDENTITY_ENDPOINT handelt es sich um eine lokale URL, über die Ihre App Token anfordern kann. Um ein Token für eine Ressource abzurufen, senden Sie eine HTTP-GET-Anforderung mit folgenden Parametern an diesen Endpunkt:

Parametername Geben Sie in BESCHREIBUNG

resource Abfrage Der Azure AD-Ressourcen-URI der Ressource, für die ein Token abgerufen werden soll. Dies kann einer der Azure-Dienste, die die Azure AD-Authentifizierung unterstützen, oder ein anderer Ressourcen-URI sein.

api-version Abfrage Die Version der zu verwendenden Token-API. Verwenden Sie 2019-08-01.

X-IDENTITY-HEADER Header Der Wert der Umgebungsvariable IDENTITY_HEADER. Dieser Header wird als Maßnahme gegen SSRF-Angriffe (Server-Side Request Forgery) verwendet.

client_id Abfrage (Optional:) Die Client-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die principal_id, mi_res_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

principal_id Abfrage (Optional:) Die Prinzipal-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. object_id ist ein Alias, der stattdessen verwendet werden kann. Kann nicht für eine Anforderung verwendet werden, die client_id, mi_res_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

mi_res_id Abfrage (Optional:) Die Azure-Ressourcen-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die principal_id, client_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

Parametername	Geben Sie in	BESCHREIBUNG
resource	Abfrage	Der Azure AD-Ressourcen-URI der Ressource, für die ein Token abgerufen werden soll. Dies kann einer der Azure-Dienste, die die Azure AD-Authentifizierung unterstützen, oder ein anderer Ressourcen-URI sein.
api-version	Abfrage	Die Version der zu verwendenden Token-API. Verwenden Sie `2019-08-01`.
X-IDENTITY-HEADER	Header	Der Wert der Umgebungsvariable IDENTITY_HEADER. Dieser Header wird als Maßnahme gegen SSRF-Angriffe (Server-Side Request Forgery) verwendet.
client_id	Abfrage	(Optional:) Die Client-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die `principal_id`, `mi_res_id` oder `object_id` einschließt. Wenn keiner der ID-Parameter (`client_id`, `principal_id`, `object_id`, `mi_res_id`) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.
principal_id	Abfrage	(Optional:) Die Prinzipal-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. `object_id` ist ein Alias, der stattdessen verwendet werden kann. Kann nicht für eine Anforderung verwendet werden, die client_id, mi_res_id oder object_id einschließt. Wenn keiner der ID-Parameter (`client_id`, `principal_id`, `object_id`, `mi_res_id`) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.
mi_res_id	Abfrage	(Optional:) Die Azure-Ressourcen-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die `principal_id`, `client_id` oder `object_id` einschließt. Wenn keiner der ID-Parameter (`client_id`, `principal_id`, `object_id`, `mi_res_id`) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

Wichtig

Wenn Sie Token für benutzerseitig zugewiesene Identitäten abrufen möchten, müssen Sie eine der optionalen Eigenschaften einschließen. Andernfalls versucht der Tokendienst, ein Token für eine vom System zugewiesene Identität abzurufen, die möglicherweise nicht vorhanden ist.

Verwenden verwalteter Identitäten für App Service und Azure Functions

Hinzufügen einer systemseitig zugewiesenen Identität

Für App Service

Für Funktionen

Hinzufügen einer benutzerseitig zugewiesenen Identität

Für App Service

Für Funktionen

Zielressource konfigurieren

Verbinden mit Azure-Diensten im App-Code

Entfernen einer Identität

Für App Service

Für Funktionen

REST-Endpunktverweis

Nächste Schritte

Zusätzliche Ressourcen

Zusätzliche Ressourcen