Verwenden verwalteter Identitäten für Anwendungen in Azure Spring Apps
Hinweis
Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.
Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise
In diesem Artikel wird gezeigt, wie Sie systemseitig und benutzerseitig zugewiesene verwaltete Identitäten für Anwendungen in Azure Spring Apps verwenden.
Verwaltete Identitäten für Azure-Ressourcen stellen eine automatisch verwaltete Identität in Microsoft Entra-ID für eine Azure-Ressource wie Ihre Anwendung in Azure Spring Apps bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.
Featurestatus
| Systemseitig zugewiesen | Benutzerseitig zugewiesen |
|---|---|
| Allgemein verfügbar | Allgemein verfügbar |
Verwalten der verwalteten Identität für eine Anwendung
Informationen zu systemseitig zugewiesenen verwalteten Identitäten finden Sie unter Aktivieren und Deaktivieren systemseitig zugewiesener verwalteter Identitäten.
Informationen zu benutzerseitig zugewiesenen verwalteten Identitäten finden Sie unter Aktivieren und Deaktivieren benutzerseitig zugewiesener verwalteter Identitäten.
Abrufen von Tokens für Azure-Ressourcen
Eine Anwendung kann ihre verwaltete Identität verwenden, um Token abzurufen, um auf andere Ressourcen zuzugreifen, die durch die Microsoft Entra-ID geschützt sind, z. B. Azure Key Vault. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.
Sie können die Zielressource so konfigurieren, dass der Zugriff von Ihrer Anwendung aus zugelassen wird. Weitere Informationen finden Sie unter Zuweisen des Zugriffs einer verwalteten Identität auf eine Ressource über das Azure-Portal. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie sicherstellen, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe von Key Vault abgelehnt, auch wenn diese das Token enthalten. Informationen zu den Ressourcen, die Microsoft Entra-Tokens unterstützen, finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen.
Azure Spring Apps und die Azure-VM nutzen den Endpunkt für den Tokenabruf gemeinsam. Es wird empfohlen, Token mit dem Java SDK oder mit Spring Boot-Startern abzurufen. Für verschiedene Code- und Skriptbeispiele sowie Anleitungen zu wichtigen Themen wie der Behandlung von Ablauf- und HTTP-Fehlern von Token finden Sie unter Verwendung von verwalteten Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen eines Zugriffstokens.
Beispiele für das Verbinden von Azure-Diensten im Anwendungscode
Die folgende Tabelle enthält Links zu Artikeln mit Beispielen:
Bewährte Methoden bei der Verwendung verwalteter Identitäten
Es wird dringend empfohlen, systemseitig zugewiesene und benutzerseitig zugewiesene verwaltete Identitäten separat zu verwenden, es sei denn, Ihr Anwendungsfall erfordert dies unbedingt. Wenn Sie beide Typen verwalteter Identitäten zusammen verwenden, kann ein Fehler auftreten, wenn eine Anwendung die systemseitig zugewiesene verwaltete Identität verwendet und das Token abruft, ohne die Client-ID dieser Identität anzugeben. Dieses Szenario funktioniert möglicherweise einwandfrei, bis eine oder mehrere vom Benutzer zugewiesene verwaltete Identitäten dieser Anwendung zugewiesen sind, und die Anwendung kann das richtige Token nicht abrufen.
Begrenzungen
Maximale Anzahl von benutzerseitig zugewiesenen verwalteten Identitäten pro Anwendung
Die maximale Anzahl von benutzerseitig zugewiesenen verwalteten Identitäten pro Anwendung finden Sie unter Kontingente und Diensttarife für Azure Spring Apps.
Konzeptzuordnung
Die folgende Tabelle zeigt die Zuordnungen zwischen Konzepten im Bereich "Verwaltete Identität" und dem Microsoft Entra-Bereich:
| Bereich verwalteter Identitäten | Microsoft Entra-Bereich |
|---|---|
| Prinzipal-ID | ObjectID |
| Client-ID | Anwendungs-ID |