Verwenden verwalteter Identitäten für App Service und Azure Functions

Artikel
12/29/2023

In diesem Artikel erfahren Sie, wie eine verwaltete Identität für App Service- und Azure Functions-Anwendungen erstellt und für den Zugriff auf andere Ressourcen verwendet wird.

Wichtig

Da verwaltete Identitäten keine verzeichnisübergreifenden Szenarien unterstützen, verhalten sie sich nicht wie erwartet, wenn Ihre App abonnement- oder mandantenübergreifend migriert wird. Wenn Sie die verwalteten Identitäten nach einer solchen Verschiebung neu erstellen möchten, lesen Sie den Artikel Werden verwaltete Identitäten automatisch neu erstellt, wenn ich ein Abonnement in ein anderes Verzeichnis verschiebe?. Für nachgeschaltete Ressourcen müssen außerdem die Zugriffsrichtlinien für die Verwendung der neuen Identität aktualisiert werden.

Hinweis

Verwaltete Identitäten sind für Apps, die in Azure Arc bereitgestellt sind, nicht verfügbar.

Eine verwaltete Identität von Microsoft Entra ID ermöglicht es Ihrer App, einfach auf andere durch Microsoft Entra geschützte Ressourcen wie Azure Key Vault zuzugreifen. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren. Weitere Informationen zu verwalteten Identitäten in Microsoft Entra ID finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Ihrer Anwendung können zwei Arten von Identitäten zugewiesen werden:

Eine systemseitig zugewiesene Identität ist an Ihre Anwendung gebunden und wird gelöscht, wenn Ihre App gelöscht wird. Eine App kann nur über eine systemseitig zugewiesene Identität verfügen.
Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrer App zugewiesen werden kann. Eine App kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

Die Konfiguration der verwalteten Identität ist spezifisch für den Slot. Um eine verwaltete Identität für einen Bereitstellungsslot im Portal zu konfigurieren, navigieren Sie zuerst zum Slot. Um die verwaltete Identität für Ihre Web-App oder den Bereitstellungsslot in Ihrem Microsoft Entra-Mandanten über das Azure-Portal zu finden, suchen Sie direkt auf der Seite Übersicht Ihres Mandanten nach dieser Identität. In der Regel lautet der Slotname ähnlich wie <app-name>/slots/<slot-name>.

In diesem Video wird die Verwendung von verwalteten Identitäten für App Service gezeigt.

Die Schritte im Video werden auch in den folgenden Abschnitten beschrieben.

Hinzufügen einer systemseitig zugewiesenen Identität

Scrollen Sie im linken Navigationsbereich der Seite Ihrer App nach unten zur Gruppe Einstellungen.
Wählen Sie Identität aus.
Ändern Sie auf der Registerkarte Systemseitig zugewiesen den Status in Ein. Klicken Sie auf Speichern.

Führen Sie den Befehl az webapp identity assign aus, um eine vom System zugewiesene Identität zu erstellen:

az webapp identity assign --name myApp --resource-group myResourceGroup

Für App Service

Führen Sie den Befehl Set-AzWebApp -AssignIdentity aus, um eine vom System zugewiesene Identität für App Service zu erstellen:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name>

Für Funktionen

Führen Sie den Befehl Update-AzFunctionApp -IdentityType aus, um eine vom System zugewiesene Identität für eine Funktions-App zu erstellen:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

Mithilfe einer Azure Resource Manager-Vorlage kann die Bereitstellung Ihrer Azure-Ressourcen automatisiert werden. Weitere Informationen zum Bereitstellen von App Service und Azure Functions finden Sie unter Automatisieren der Ressourcenbereitstellung in App Service und Automatisieren der Ressourcenbereitstellung in Azure Functions.

Ressourcen vom Typ Microsoft.Web/sites können mit einer Identität erstellt werden, indem die folgende Eigenschaft in der Ressourcendefinition eingeschlossen wird:

"identity": {
    "type": "SystemAssigned"
}

Durch das Hinzufügen des systemseitig zugewiesenen Typs wird Azure angewiesen, die Identität für Ihre Anwendung zu erstellen und zu verwalten.

Eine Vorlage der Web-App kann beispielsweise wie die folgende JSON aussehen:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Wenn die Website erstellt wurde, weist sie folgende zusätzliche Eigenschaften auf:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

Die tenantId-Eigenschaft gibt an, zu welchem Microsoft Entra-Mandanten die Identität gehört. Die Eigenschaft „principalId“ ist ein eindeutiger Bezeichner für die neue Identität der Anwendung. In Microsoft Entra ID weist der Dienstprinzipal den gleichen Namen auf, den Sie für Ihre App Service- oder Azure Functions-Instanz vergeben haben.

Wenn Sie in einer späteren Phase in der Vorlage auf diese Eigenschaften verweisen müssen, können Sie dies über die reference()-Vorlagenfunktion mit dem Flag 'Full' erledigen, wie in diesem Beispiel gezeigt:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Hinzufügen einer benutzerseitig zugewiesenen Identität

Für das Erstellen einer App mit einer benutzerseitig zugewiesenen Identität müssen Sie die Identität erstellen und dann den Ressourcenbezeichner der Identität zu Ihrer App-Konfiguration hinzufügen.

Zunächst müssen Sie eine Ressource für eine benutzerseitig zugewiesene Identität erstellen.

Folgen Sie zum Erstellen einer benutzerseitig verwalteten Identitätsressource diesen Anweisungen.
Scrollen Sie im linken Navigationsbereich der Seite Ihrer App nach unten zur Gruppe Einstellungen.
Wählen Sie Identität aus.
Wählen Sie Benutzerseitig zugewiesen>Hinzufügen aus.
Suchen Sie nach der zuvor erstellten Identität, und wählen Sie Hinzufügen aus.

Nachdem Sie Hinzufügen ausgewählt haben, wird die App neu gestartet.

Erstellen Sie eine benutzerseitig zugewiesene Identität.

az identity create --resource-group <group-name> --name <identity-name>

Führen Sie den Befehl az webapp identity assign aus, um die Identität der App zuzuweisen.

az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>

Für App Service

Das Hinzufügen einer vom Benutzer zugewiesenen Identität in App Service wird derzeit nicht unterstützt.

Für Funktionen

Erstellen Sie eine benutzerseitig zugewiesene Identität.

Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>

Führen Sie den Befehl Update-AzFunctionApp -IdentityType UserAssigned -IdentityId aus, um die Identität in Funktionen zuzuweisen.

Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id

Ressourcen vom Typ Microsoft.Web/sites können mit einer Identität erstellt werden, indem den folgenden Block in die Ressourcendefinition einschließen. Ersetzen Sie hierbei <resource-id> durch die Ressourcen-ID der gewünschten Identität:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Hinweis

Eine Anwendung kann gleichzeitig sowohl über systemseitig als auch über benutzerseitig zugewiesene Identitäten verfügen. In diesem Fall erhält die type-Eigenschaft den Wert SystemAssigned,UserAssigned.

Durch das Hinzufügen des benutzerseitig zugewiesenen Typs wird Azure angewiesen, die vom Benutzer zugewiesene Identität zu verwenden, die für Ihre Anwendung angegeben ist.

Eine Vorlage der Web-App kann beispielsweise wie die folgende JSON aussehen:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Wenn die Website erstellt wurde, weist sie folgende zusätzliche Eigenschaften auf:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

„principalId“ ist ein eindeutiger Bezeichner für die Identität, der bei der Microsoft Entra-Verwaltung verwendet wird. „clientId“ ist ein eindeutiger Bezeichner für die neue Identität der Anwendung, der bei Runtimeaufrufen angibt, welche Identität verwendet werden soll.

Zielressource konfigurieren

Sie müssen die Zielressource möglicherweise für den Zugriff über die App oder Funktion konfigurieren. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie auch eine Zugriffsrichtlinie hinzufügen, die die verwaltete Identität Ihrer App oder Funktion enthält. Andernfalls werden Ihre Aufrufe von Key Vault abgelehnt, auch wenn Sie ein gültiges Token verwenden. Dasselbe gilt für Azure SQL-Datenbank. Informationen zu den Ressourcen, die Microsoft Entra-Tokens unterstützen, finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen.

Wichtig

Die Back-End-Dienste für verwaltete Identitäten behalten pro Ressourcen-URI für ca. 24 Stunden einen Cache bei. Wenn Sie die Zugriffsrichtlinie einer bestimmten Zielressource aktualisieren und sofort ein Token für diese Ressource abrufen, erhalten Sie möglicherweise weiterhin ein zwischengespeichertes Token mit veralteten Berechtigungen, bis dieses Token abläuft. Zurzeit gibt es keine Möglichkeit, eine Tokenaktualisierung zu erzwingen.

Verbinden mit Azure-Diensten im App-Code

Mit der verwalteten Identität kann eine App Tokens für Azure-Ressourcen abrufen, die durch Microsoft Entra ID geschützt sind, z. B. Azure SQL-Datenbank, Azure Key Vault und Azure Storage. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, nicht einen bestimmten Benutzer der Anwendung.

App Service und Azure Functions einen intern zugänglichen REST-Endpunkt für den Tokenabruf bereitstellen. Auf den REST-Endpunkt kann innerhalb der App mit einem HTTP GET-Standard zugegriffen werden, der mit einem generischen HTTP-Client in jeder Sprache implementiert werden kann. Für .NET, JavaScript, Java und Python bietet die Azure Identity-Clientbibliothek eine Abstraktion über diesen REST-Endpunkt und vereinfacht die Entwicklungserfahrung. Das Herstellen einer Verbindung mit anderen Azure-Diensten ist so einfach wie das Hinzufügen eines Anmeldeinformationsobjekts zum dienstspezifischen Client.

Eine unformatierte HTTP GET-Anforderung sieht wie im folgenden Beispiel aus:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Eine Beispielantwort könnte folgendermaßen aussehen:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Diese Antwort ist mit der Antwort auf die Zugriffstokenanforderung zwischen zwei Diensten in Microsoft Entra identisch. Um auf Key Vault zugreifen zu können, fügen Sie den Wert access_token einer Clientverbindung mit dem Tresor hinzu.

Hinweis

Beim Herstellen einer Verbindung mit Azure SQL-Datenquellen mit Entity Framework Core empfiehlt sich die Verwendung von Microsoft.Data.SqlClient, das spezielle Verbindungszeichenfolgen für Verbindungen mit verwalteten Identitäten bietet. Ein Beispiel finden Sie unter Tutorial: Schützen der Azure SQL-Datenbank-Verbindung von App Service mittels einer verwalteten Identität.

In .NET-Apps und -Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek mit einer verwalteten Identität zu arbeiten. Ausführliche Anleitungen finden Sie im Tutorial: Herstellen einer Verbindung mit Azure-Datenbanken aus App Service ohne Geheimnisse mithilfe einer verwalteten Identität.

Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

In den verknüpften Beispielen wird DefaultAzureCredential verwendet. Dies ist für die meisten Szenarien nützlich, da das gleiche Muster in Azure (mit verwalteten Identitäten) und auf Ihrem lokalen Computer (ohne verwaltete Identitäten) funktioniert.

In Node.js-Apps und JavaScript-Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek für JavaScript mit einer verwalteten Identität zu arbeiten. Ausführliche Anleitungen finden Sie im Tutorial: Herstellen einer Verbindung mit Azure-Datenbanken aus App Service ohne Geheimnisse mithilfe einer verwalteten Identität.

Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

Weitere Codebeispiele für die Azure Identity-Clientbibliothek für JavaScript finden Sie unter Beispiele für Azure-Identitäten.

In Python-Apps und -Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek für Pythonmit einer verwalteten Identität zu arbeiten. Ausführliche Anleitungen finden Sie im Tutorial: Herstellen einer Verbindung mit Azure-Datenbanken aus App Service ohne Geheimnisse mithilfe einer verwalteten Identität.

Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

In Java-Apps und -Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek für Java mit einer verwalteten Identität zu arbeiten. Ausführliche Anleitungen finden Sie im Tutorial: Herstellen einer Verbindung mit Azure-Datenbanken aus App Service ohne Geheimnisse mithilfe einer verwalteten Identität.

Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

Weitere Codebeispiele für die Azure Identity-Clientbibliothek für Java finden Sie unter Beispiele für Azure-Identitäten.

Verwenden Sie das folgende Skript, um ein Token vom lokalen Endpunkt abzurufen, indem Sie einen Ressourcen-URI eines Azure-Diensts angeben:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Weitere Informationen zum REST-Endpunkt finden Sie in der REST-Endpunktreferenz.

Entfernen einer Identität

Wenn Sie eine vom System zugewiesene Identität entfernen, wird sie aus Microsoft Entra ID gelöscht. Systemseitig zugewiesene Identitäten werden auch automatisch aus Microsoft Entra ID entfernt, wenn Sie die App-Ressource selbst löschen.

Scrollen Sie im linken Navigationsbereich der Seite Ihrer App nach unten zur Gruppe Einstellungen.
Wählen Sie Identität aus. Führen Sie dann die Schritte basierend auf dem Identitätstyp aus:
- Vom System zugewiesene Identität: Ändern Sie auf der Registerkarte Vom System zugewiesen den Status zu Aus. Klicken Sie auf Speichern.
- Vom Benutzer zugewiesene Identität: Klicken Sie auf die Registerkarte Vom Benutzer zugewiesen, aktivieren Sie das Kontrollkästchen für die Identität, und klicken Sie auf Entfernen. Klicken Sie auf Ja, um zu bestätigen.

Um die systemseitig zugewiesene Identität zu entfernen:

az webapp identity remove --name <app-name> --resource-group <group-name>

So entfernen Sie eine oder mehrere vom Benutzer zugewiesene Identitäten:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-id1> <identity-id2> ...

Sie können die systemseitig zugewiesene Identität auch entfernen, indem Sie in [system]--identities angeben.

Für App Service

Führen Sie den Befehl Set-AzWebApp -AssignIdentity aus, um eine vom System zugewiesene Identität für App Service zu entfernen:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name>

Für Funktionen

So entfernen Sie alle Identitäten in Azure PowerShell (nur Azure Functions):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

So entfernen Sie alle Identitäten in einer ARM-Vorlage:

"identity": {
    "type": "None"
}

Hinweis

Es gibt auch eine Anwendungseinstellung, die festgelegt werden kann (WEBSITE_DISABLE_MSI). Hierdurch wird nur der lokale Tokendienst deaktiviert. Die Identität bleibt jedoch erhalten, und Tools zeigen die verwaltete Identität weiterhin als "ein" oder "aktiviert" an. Daher wird die Verwendung dieser Einstellung nicht empfohlen.

REST-Endpunktverweis

Eine App mit einer verwalteten Identität macht diesen Endpunkt verfügbar, indem zwei Umgebungsvariablen definiert werden:

IDENTITY_ENDPOINT: die URL zum lokalen Tokendienst
IDENTITY_HEADER: ein Header, der als Maßnahme gegen SSRF-Angriffe (Server-Side Request Forgery) verwendet wird. Der Wert wird von der Plattform rotiert.

Bei IDENTITY_ENDPOINT handelt es sich um eine lokale URL, über die Ihre App Token anfordern kann. Um ein Token für eine Ressource abzurufen, senden Sie eine HTTP-GET-Anforderung mit folgenden Parametern an diesen Endpunkt:

Parametername Geben Sie in BESCHREIBUNG

resource Abfrage Der Ressourcen-URI von Microsoft Entra für die Ressource, für die ein Token abgerufen werden soll. Dies kann einer der Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen, oder ein anderer Ressourcen-URI sein.

api-version Abfrage Die Version der zu verwendenden Token-API. Verwenden Sie 2019-08-01.

X-IDENTITY-HEADER Header Der Wert der Umgebungsvariable IDENTITY_HEADER. Dieser Header wird als Maßnahme gegen SSRF-Angriffe (Server-Side Request Forgery) verwendet.

client_id Abfrage (Optional:) Die Client-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die principal_id, mi_res_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

principal_id Abfrage (Optional:) Die Prinzipal-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. object_id ist ein Alias, der stattdessen verwendet werden kann. Kann nicht für eine Anforderung verwendet werden, die client_id, mi_res_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

mi_res_id Abfrage (Optional:) Die Azure-Ressourcen-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die principal_id, client_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

Parametername	Geben Sie in	BESCHREIBUNG
resource	Abfrage	Der Ressourcen-URI von Microsoft Entra für die Ressource, für die ein Token abgerufen werden soll. Dies kann einer der Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen, oder ein anderer Ressourcen-URI sein.
api-version	Abfrage	Die Version der zu verwendenden Token-API. Verwenden Sie `2019-08-01`.
X-IDENTITY-HEADER	Header	Der Wert der Umgebungsvariable IDENTITY_HEADER. Dieser Header wird als Maßnahme gegen SSRF-Angriffe (Server-Side Request Forgery) verwendet.
client_id	Abfrage	(Optional:) Die Client-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die `principal_id`, `mi_res_id` oder `object_id` einschließt. Wenn keiner der ID-Parameter (`client_id`, `principal_id`, `object_id`, `mi_res_id`) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.
principal_id	Abfrage	(Optional:) Die Prinzipal-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. `object_id` ist ein Alias, der stattdessen verwendet werden kann. Kann nicht für eine Anforderung verwendet werden, die client_id, mi_res_id oder object_id einschließt. Wenn keiner der ID-Parameter (`client_id`, `principal_id`, `object_id`, `mi_res_id`) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.
mi_res_id	Abfrage	(Optional:) Die Azure-Ressourcen-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die `principal_id`, `client_id` oder `object_id` einschließt. Wenn keiner der ID-Parameter (`client_id`, `principal_id`, `object_id`, `mi_res_id`) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

Wichtig

Wenn Sie Token für benutzerseitig zugewiesene Identitäten abrufen möchten, müssen Sie eine der optionalen Eigenschaften einschließen. Andernfalls versucht der Tokendienst, ein Token für eine vom System zugewiesene Identität abzurufen, die möglicherweise nicht vorhanden ist.

Verwenden verwalteter Identitäten für App Service und Azure Functions

Hinzufügen einer systemseitig zugewiesenen Identität

Für App Service

Für Funktionen

Hinzufügen einer benutzerseitig zugewiesenen Identität

Für App Service

Für Funktionen

Zielressource konfigurieren

Verbinden mit Azure-Diensten im App-Code

Entfernen einer Identität

Für App Service

Für Funktionen

REST-Endpunktverweis

Nächste Schritte

Zusätzliche Ressourcen