Was sind verwaltete Identitäten für Azure-Ressourcen?

Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten.

Während Entwickler die Geheimnisse in Azure Key Vault sicher speichern können, benötigen Dienste eine Möglichkeit zum Zugriff auf Azure Key Vault. Verwaltete Identitäten bieten in Azure Active Directory eine automatisch verwaltete Identität für Anwendungen, die sich mit Ressourcen verbinden, die Azure Active Directory (Azure AD)-Authentifizierung unterstützen. Anwendungen können verwaltete Identitäten verwenden, um Azure AD-Token abzurufen, ohne Anmeldeinformationen verwalten zu müssen.

Das folgende Video zeigt, wie Sie verwaltete Identitäten verwenden können:

Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:

  • Sie brauchen keine Anmeldeinformationen zu verwalten. Sie haben nicht einmal Zugriff auf die Anmeldeinformationen.
  • Sie können verwaltete Identitäten zur Authentifizierung bei einer beliebigen Ressource verwenden, die Azure AD-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
  • Verwaltete Identitäten können ohne zusätzliche Kosten genutzt werden.

Hinweis

„Verwaltete Identitäten für Azure-Ressourcen“ ist der neue Name für den Dienst, der früher als „Verwaltete Dienstidentität“ (Managed Service Identity, MSI) bezeichnet wurde.

Arten von verwalteten Identitäten

Es gibt zwei Arten von verwalteten Identitäten:

  • Systemseitig zugewiesen: Bei einigen Azure-Diensten können Sie eine verwaltete Identität direkt in einer Dienstinstanz aktivieren. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, wird eine Identität in Azure AD erstellt. Die Identität ist an den Lebenszyklus dieser Dienstinstanz gebunden. Azure löscht automatisch die Identität, wenn die Ressource gelöscht wird. Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Azure AD verwenden.
  • Benutzerseitig zugewiesen: Sie können auch eine verwaltete Identität als eigenständige Azure-Ressource erstellen. Sie können eine benutzerseitig zugewiesene verwaltete Identität erstellen und diese einer oder mehreren Instanzen eines Azure-Diensts zuweisen. Bei benutzerseitig zugewiesenen verwalteten Identitäten wird die Identität getrennt von den Ressourcen verwaltet, für die sie verwendet wird.

Die nachstehende Tabelle verdeutlicht die Unterschiede zwischen den zwei Arten von verwalteten Identitäten:

Eigenschaft Systemseitig zugewiesene verwaltete Identität Benutzerseitig zugewiesene verwaltete Identität
Erstellung Als Teil einer Azure-Ressource (z. B. Azure Virtual Machines oder Azure App Service). Als eigenständige Azure-Ressource.
Lebenszyklus Gemeinsamer Lebenszyklus mit der Azure-Ressource, für die die verwaltete Identität erstellt wurde.
Wenn die übergeordnete Ressource gelöscht wird, wird auch die verwaltete Identität gelöscht.
Unabhängiger Lebenszyklus.
Muss explizit gelöscht werden.
Gemeinsame Nutzung durch mehrere Azure-Ressourcen Kann nicht freigegeben werden.
Kann nur einer einzelnen Azure-Ressource zugeordnet werden.
Gemeinsame Nutzung möglich.
Die gleiche benutzerseitig zugewiesene verwaltete Identität kann mehreren Azure-Ressourcen zugeordnet werden.
Gängige Anwendungsfälle Workloads innerhalb einer einzelnen Azure-Ressource.
Workloads, für die unabhängige Identitäten erforderlich sind.
Beispiel: Eine Anwendung, die auf einer einzelnen VM ausgeführt wird.
Workloads, die auf mehrere Ressourcen ausgeführt werden und eine einzelne Identität gemeinsam nutzen können.
Workloads, die im Rahmen eines Bereitstellungsflows vorab für eine sichere Ressource autorisiert werden müssen.
Workloads, bei denen Ressourcen häufig recycelt werden, die Berechtigungen aber konsistent bleiben sollen.
Beispielsweise eine Workload, bei der mehrere virtuelle Computer auf die gleiche Ressource zugreifen müssen.

Wichtig

Unabhängig vom gewählten Identitätstyp ist eine verwaltete Identität eine spezielle Art von Dienstprinzipal, der nur mit Azure-Ressourcen verwendet werden kann. Wenn die verwaltete Identität gelöscht wird, wird automatisch auch der entsprechende Dienstprinzipal entfernt.


Wie kann ich verwaltete Identitäten für Azure-Ressourcen verwenden?

Sie können verwaltete Identitäten verwenden, indem Sie die folgenden Schritte ausführen:

  1. Erstellen einer verwalteten Identität in Azure. Sie können zwischen der vom System zugewiesenen verwalteten Identität oder der vom Benutzer zugewiesenen verwalteten Identität wählen.
  2. Bei einer vom Benutzer zugewiesenen verwalteten Identität weisen Sie die verwaltete Identität der „Quell“-Azure-Ressource zu, z. B. einer Azure Logic-App oder einer Azure Web-App.
  3. Autorisieren Sie die verwaltete Identität, um Zugriff auf den Zieldienst zu haben.
  4. Verwenden Sie die verwaltete Identität, um auf eine Ressource zuzugreifen. In diesem Schritt können Sie das Azure-SDK mit der Azure-Identitätsbibliothek verwenden. Einige „Quell“-Ressourcen" bieten Connectors, die wissen, wie verwaltete Identitäten für die Verbindungen verwendet werden. In diesem Fall verwenden Sie die Identität als Feature dieser „Quell“-Ressource.

Welche Azure-Dienste unterstützen das Feature?

Verwaltete Identitäten für Azure-Ressourcen können zur Authentifizierung bei Diensten verwendet werden, die die Azure AD-Authentifizierung unterstützen. Eine Liste der verwalteten Identitäten finden Sie unter Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen.

Welche Vorgänge kann ich mit verwalteten Identitäten ausführen?

Ressourcen, die systemseitig zugewiesene verwaltete Identitäten unterstützen, ermöglichen Folgendes:

Falls Sie stattdessen eine benutzerseitig zugewiesene verwaltete Identität verwenden möchten:

Vorgänge für verwaltete Identitäten können mithilfe einer Azure Resource Manager-Vorlage, über das Azure-Portal, die Azure CLI, PowerShell und REST-APIs ausgeführt werden.

Nächste Schritte