Verwaltete Identitäten in Azure Container Apps

Mit einer verwalteten Identität von Microsoft Entra ID kann Ihre Container-App auf andere von Microsoft Entra geschützte Ressourcen zugreifen. Weitere Informationen zu verwalteten Identitäten in Microsoft Entra ID finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Ihrer Container-App können zwei Arten von Identitäten zugewiesen werden:

• Eine systemseitig zugewiesene Identität ist an Ihre Container-App gebunden und wird gelöscht, wenn Ihre App gelöscht wird. Eine App kann nur über eine systemseitig zugewiesene Identität verfügen.
• Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrer Container-App und anderen Ressourcen zugewiesen werden kann. Eine Container-App kann über mehrere benutzerseitig zugewiesene Identitäten verfügen. Die Identität bleibt bestehen, bis Sie sie löschen.

Gründe für die Verwendung einer verwalteten Identität

Sie können eine verwaltete Identität in einer ausgeführten Container-App verwenden, um sich bei jedem Dienst zu authentifizieren, der die Microsoft Entra-Authentifizierung unterstützt.

Mit verwalteten Identitäten:

• Ihre App stellt mit der verwalteten Identität eine Verbindung mit Ressourcen her. Sie müssen keine Anmeldeinformationen in Ihrer Container-App verwalten.
• Sie können die rollenbasierte Zugriffssteuerung verwenden, um einer verwalteten Identität bestimmte Berechtigungen zuzuweisen.
• Systemseitig zugewiesene Identitäten werden automatisch erstellt und verwaltet. Sie werden gelöscht, wenn Ihre Container-App gelöscht wird.
• Sie können benutzerseitig zugewiesene Identitäten hinzufügen und löschen und mehreren Ressourcen zuweisen. Sie sind unabhängig vom Lebenszyklus Ihrer Container-App.
• Sie können eine verwaltete Identität verwenden, um sich bei einer privaten Azure Container Registry ohne Benutzernamen und Kennwort zu authentifizieren, um Container für Ihre Container-App zu pullen.
• Sie können eine verwaltete Identität verwenden, um Verbindungen für Dapr-aktivierte Anwendungen über Dapr-Komponenten zu erstellen.

Gängige Anwendungsfälle

Systemseitig zugewiesene Identitäten eignen sich am besten für Workloads, die:

• in einer einzelnen Ressource enthalten sind
• unabhängige Identitäten benötigen

Benutzerseitig zugewiesene Identitäten sind ideal für Workloads, die:

• auf mehreren Ressourcen ausgeführt werden und eine einzelne Identität gemeinsam nutzen können
• vorab für eine sichere Ressource autorisiert werden müssen

Begrenzungen

Die Verwendung verwalteter Identitäten in Skalierungsregeln wird nicht unterstützt. Sie müssen weiterhin die Verbindungszeichenfolge oder den Schlüssel in das secretRef der Skalierungsregel aufnehmen.

Init-Container können nicht auf verwaltete Identitäten zugreifen.

Konfigurieren von verwalteten Identitäten

Sie können Ihre verwalteten Identitäten über Folgendes konfigurieren:

• dem Azure-Portal
• Azure CLI
• Ihre ARM-Vorlage (Azure Resource Manager)

Wenn eine verwaltete Identität in einer ausgeführten Container-App hinzugefügt, gelöscht oder geändert wird, wird die App nicht automatisch neu gestartet, und es wird keine neue Revision erstellt.

Hinweis

Beim Hinzufügen einer verwalteten Identität zu einer Container-App, die vor dem 11. April 2022 bereitgestellt wurde, müssen Sie eine neue Revision erstellen.

Hinzufügen einer systemseitig zugewiesenen Identität

Azure portal

1. Scrollen Sie im linken Navigationsbereich der Seite Ihrer Container-App nach unten zur Gruppe Einstellungen.

2. Wählen Sie Identität aus.

3. Ändern Sie auf der Registerkarte Systemseitig zugewiesen den Status in Ein. Wählen Sie Speichern.

Azure-Befehlszeilenschnittstelle

Führen Sie den Befehl az containerapp identity assign aus, um eine vom System zugewiesene Identität zu erstellen:

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

ARM-Vorlage

Eine ARM-Vorlage kann verwendet werden, um die Bereitstellung Ihrer Container-App und Ressourcen zu automatisieren. Um eine systemseitig zugewiesene Identität hinzuzufügen, fügen Sie Ihrer ARM-Vorlage einen identity-Abschnitt hinzu.

"identity": {
    "type": "SystemAssigned"
}

Durch das Hinzufügen des systemseitig zugewiesenen Typs wird Azure angewiesen, die Identität für Ihre Anwendung zu erstellen und zu verwalten. Ein vollständiges ARM-Vorlagenbeispiel finden Sie unter ARM-API-Spezifikation.

YAML

Einige Azure CLI-Befehle, einschließlich az containerapp create und az containerapp job create, unterstützen YAML-Dateien für die Eingabe. Um eine vom System zugewiesene Identität hinzuzufügen, fügen Sie Ihrer YAML-Datei einen identity Abschnitt hinzu.

identity:
  type: SystemAssigned

Durch das Hinzufügen des systemseitig zugewiesenen Typs wird Azure angewiesen, die Identität für Ihre Anwendung zu erstellen und zu verwalten. Ein vollständiges YAML-Vorlagenbeispiel finden Sie unter ARM-API-Spezifikation.

Hinzufügen einer benutzerseitig zugewiesenen Identität

Beim Konfigurieren einer Container-App mit einer benutzerseitig zugewiesenen Identität müssen Sie zuerst die Identität erstellen und dann deren Ressourcenbezeichner zur Konfiguration ihrer Container-App hinzufügen. Sie können benutzerseitig zugewiesene Identitäten über das Azure-Portal oder die Azure-Befehlszeilenschnittstelle erstellen. Informationen zum Erstellen und Verwalten einer benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Benutzerseitig zugewiesene verwaltete Identitäten verwalten.

Azure portal

Zunächst müssen Sie eine Ressource für eine benutzerseitig zugewiesene Identität erstellen.

1. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identitätsressource entsprechend den Schritten, die in Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten aufgeführt sind.

2. Scrollen Sie im linken Navigationsbereich der Seite Ihrer App nach unten zur Gruppe Einstellungen.

3. Wählen Sie Identität aus.

4. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option Hinzufügen aus.

5. Suchen Sie nach der zuvor erstellten Identität, und wählen Sie sie aus. Klicken Sie auf Hinzufügen.

Azure-Befehlszeilenschnittstelle

1. Erstellen Sie eine benutzerseitig zugewiesene Identität.

   az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
   

   Beachten Sie die id-Eigenschaft der neuen Identität.

2. Führen Sie den Befehl az containerapp identity assign aus, um die Identität der App zuzuweisen. Der Identitätenparameter ist eine durch Leerzeichen getrennte Liste.

   az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
       --user-assigned <IDENTITY_RESOURCE_ID>
   

   Ersetzen Sie <IDENTITY_RESOURCE_ID> mit der id-Eigenschaft der Identität. Um mehr als eine benutzerseitig zugewiesene Identität zuzuweisen, geben Sie dem --user-assigned-Parameter eine durch Leerzeichen getrennte Liste von Identitäts-IDs an.

ARM-Vorlage

Um eine oder mehrere benutzerseitig zugewiesene Identitäten hinzuzufügen, fügen Sie Ihrer ARM-Vorlage einen identity-Abschnitt hinzu. Ersetzen Sie <IDENTITY1_RESOURCE_ID> und <IDENTITY2_RESOURCE_ID> mit den Ressourcenbezeichnern der Identitäten, die Sie hinzufügen möchten.

Geben Sie jede benutzerseitig zugewiesene Identität an, indem Sie dem userAssignedIdentities-Objekt ein Element mit dem Ressourcenbezeichner der Identität als Schlüssel hinzufügen. Verwenden Sie ein leeres Objekt als Wert.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

Ein vollständiges ARM-Vorlagenbeispiel finden Sie unter ARM-API-Spezifikation.

Hinweis

Eine Anwendung kann gleichzeitig sowohl über systemseitig als auch über benutzerseitig zugewiesene Identitäten verfügen. In diesem Fall ist die Typeigenschaft SystemAssigned,UserAssigned.

YAML

Um eine oder mehrere vom Benutzer zugewiesene Identitäten hinzuzufügen, fügen Sie Ihrer YAML-Konfigurationsdatei einen identity Abschnitt hinzu. Ersetzen Sie <IDENTITY1_RESOURCE_ID> und <IDENTITY2_RESOURCE_ID> mit den Ressourcenbezeichnern der Identitäten, die Sie hinzufügen möchten.

Geben Sie jede benutzerseitig zugewiesene Identität an, indem Sie dem userAssignedIdentities-Objekt ein Element mit dem Ressourcenbezeichner der Identität als Schlüssel hinzufügen. Verwenden Sie ein leeres Objekt als Wert.

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

Ein vollständiges YAML-Vorlagenbeispiel finden Sie unter ARM-API-Spezifikation.

Hinweis

Eine Anwendung kann gleichzeitig sowohl über systemseitig als auch über benutzerseitig zugewiesene Identitäten verfügen. In diesem Fall ist die Typeigenschaft SystemAssigned,UserAssigned.

Konfigurieren einer Zielressource

Für einige Ressourcen müssen Sie Rollenzuweisungen für die verwaltete Identität Ihrer App konfigurieren, um Zugriff zu gewähren. Andernfalls werden Aufrufe von Ihrer App an Dienste wie Azure Key Vault und Azure SQL-Datenbank abgelehnt, selbst wenn Sie ein gültiges Token für diese Identität verwenden. Weitere Informationen zur rollenbasierten Zugriffssteuerung in Azure (Azure RBAC) finden Sie im Artikel Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?. Informationen zu den Ressourcen, die Microsoft Entra-Tokens unterstützen, finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen.

Wichtig

Die Back-End-Dienste für verwaltete Identitäten behalten pro Ressourcen-URI für ca. 24 Stunden einen Cache bei. Wenn Sie die Zugriffsrichtlinie einer bestimmten Zielressource aktualisieren und sofort ein Token für diese Ressource abrufen, erhalten Sie möglicherweise weiterhin ein zwischengespeichertes Token mit veralteten Berechtigungen, bis dieses Token abläuft. Zurzeit gibt es keine Möglichkeit, eine Tokenaktualisierung zu erzwingen.

Verbinden mit Azure-Diensten im App-Code

Mit verwalteten Identitäten kann eine App Token für den Zugriff auf Azure-Ressourcen abrufen, die Microsoft Entra-ID verwenden, z. B. Azure SQL-Datenbank, Azure Key Vault und Azure Storage. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, nicht einen bestimmten Benutzer der Anwendung.

Container Apps bietet einen intern zugänglichen REST-Endpunkt zum Abrufen von Token. Auf den REST-Endpunkt kann innerhalb der App mit einem HTTP GET-Standard zugegriffen werden, der mit einem generischen HTTP-Client in jeder Sprache implementiert werden kann. Für .NET, JavaScript, Java und Python bietet die Azure Identity-Clientbibliothek eine Abstraktion über diesen REST-Endpunkt. Das Herstellen einer Verbindung mit anderen Azure-Diensten ist so einfach wie das Hinzufügen eines Anmeldeinformationsobjekts zum dienstspezifischen Client.

Hinweis

Bei Verwendung der Azure Identity-Clientbibliothek muss die vom Benutzer zugewiesene Client-ID für verwaltete Identität angegeben werden.

.NET

Hinweis

Beim Herstellen einer Verbindung mit Azure SQL-Datenquellen mit Entity Framework Core empfiehlt sich die Verwendung von Microsoft.Data.SqlClient, das spezielle Verbindungszeichenfolgen für Verbindungen mit verwalteten Identitäten bietet.

In .NET-Apps ist es am einfachsten, über die Azure Identity-Clientbibliothek mit einer verwalteten Identität zu arbeiten. Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

• Hinzufügen der Azure Identity-Clientbibliothek zu Ihrem Projekt
• Zugreifen auf den Azure-Dienst mit einer vom System zugewiesenen Identität
• Zugreifen auf den Azure-Dienst mit einer vom Benutzer zugewiesenen Identität

In den verknüpften Beispielen wird DefaultAzureCredential verwendet. Dies ist für die meisten Szenarien sinnvoll, da das gleiche Muster in Azure (mit verwalteten Identitäten) und auf Ihrem lokalen Computer (ohne verwaltete Identitäten) funktioniert.

JavaScript

In Node.js-Apps ist es am einfachsten, über die Azure Identity-Clientbibliothek für JavaScript mit einer verwalteten Identität zu arbeiten. Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

• Hinzufügen der Azure Identity-Clientbibliothek zu Ihrem Projekt
• Zugreifen auf den Azure-Dienst mit einer vom System zugewiesenen Identität
• Zugreifen auf den Azure-Dienst mit einer vom Benutzer zugewiesenen Identität

In den verknüpften Beispielen wird DefaultAzureCredential verwendet. Dies ist für die meisten Szenarien sinnvoll, da das gleiche Muster in Azure (mit verwalteten Identitäten) und auf Ihrem lokalen Computer (ohne verwaltete Identitäten) funktioniert.

Weitere Codebeispiele für die Azure Identity-Clientbibliothek für JavaScript finden Sie unter Beispiele für Azure-Identitäten.

Python

In Python-Apps ist es am einfachsten, über die Azure Identity-Clientbibliothek für Pythonmit einer verwalteten Identität zu arbeiten. Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

• Hinzufügen der Azure Identity-Clientbibliothek zu Ihrem Projekt
• Zugreifen auf den Azure-Dienst mit einer vom System zugewiesenen Identität
• Zugreifen auf den Azure-Dienst mit einer vom Benutzer zugewiesenen Identität

In den verknüpften Beispielen wird DefaultAzureCredential verwendet. Dies ist für die meisten Szenarien sinnvoll, da das gleiche Muster in Azure (mit verwalteten Identitäten) und auf Ihrem lokalen Computer (ohne verwaltete Identitäten) funktioniert.

Java

In Java-Apps und -Funktionen ist es am einfachsten, über die Azure Identity-Clientbibliothek für Java mit einer verwalteten Identität zu arbeiten. Weitere Informationen finden Sie in den entsprechenden Dokumentationsüberschriften der Clientbibliothek:

• Hinzufügen der Azure Identity-Clientbibliothek zu Ihrem Projekt
• Zugreifen auf den Azure-Dienst mit einer vom System zugewiesenen Identität
• Zugreifen auf den Azure-Dienst mit einer vom Benutzer zugewiesenen Identität

In den verknüpften Beispielen wird DefaultAzureCredential verwendet. Dies ist für die meisten Szenarien sinnvoll, da das gleiche Muster in Azure (mit verwalteten Identitäten) und auf Ihrem lokalen Computer (ohne verwaltete Identitäten) funktioniert.

Weitere Codebeispiele für die Azure Identity-Clientbibliothek für Java finden Sie unter Beispiele für Azure-Identitäten.

PowerShell

Verwenden Sie das folgende Skript, um ein Token vom lokalen Endpunkt abzurufen, indem Sie einen Ressourcen-URI eines Azure-Diensts angeben. Ersetzen Sie den Platzhalter durch den Ressourcen-URI, um das Token abzurufen.

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

HTTP GET

Eine unformatierte HTTP GET-Anforderung sieht wie im folgenden Beispiel aus.

Rufen Sie die Tokenendpunkt-URL aus der IDENTITY_ENDPOINT Umgebungsvariable ab. x-identity-header enthält die GUID, die in der Umgebungsvariable IDENTITY_HEADER gespeichert ist.

GET http://localhost:42356/msi/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Eine Antwort könnte folgendem Beispiel entsprechen:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Diese Antwort ist mit der Antwort auf die Zugriffstokenanforderung zwischen zwei Diensten in Microsoft Entra identisch. Um auf Key Vault zugreifen zu können, fügen Sie den Wert access_token einer Clientverbindung mit dem Tresor hinzu.

REST-Endpunktverweis

Eine Container-App mit einer verwalteten Identität macht den Identitätsendpunkt verfügbar, indem zwei Umgebungsvariablen definiert werden:

• IDENTITY_ENDPOINT – lokale URL, über die Ihre Container-App Token anfordern kann.
• IDENTITY_HEADER – ein Header, der dazu dient, serverseitige Anforderungsfälschungen (SSRF)-Angriffe zu mindern. Der Wert wird von der Plattform rotiert.

Um ein Token für eine Ressource abzurufen, senden Sie eine HTTP-GET-Anforderung mit folgenden Parametern an den Endpunkt:

Parametername	Geben Sie in	BESCHREIBUNG
resource	Abfrage	Der Ressourcen-URI von Microsoft Entra für die Ressource, für die ein Token abgerufen werden soll. Die Ressource kann einer der Azure-Dienste sein, die die Microsoft Entra-Authentifizierung oder einen anderen Ressourcen-URI unterstützen.
api-version	Abfrage	Die Version der zu verwendenden Token-API. Verwenden Sie „2019-08-01“ oder höher.
X-IDENTITY-HEADER	Header	Der Wert der Umgebungsvariablen IDENTITY_HEADER. Dieser Header entschärft SSRF-Angriffe (Server-Side Request Forgery).
client_id	Abfrage	(Optional:) Die Client-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die principal_id, mi_res_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.
principal_id	Abfrage	(Optional:) Die Prinzipal-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. object_id ist ein Alias, der stattdessen verwendet werden kann. Kann nicht für eine Anforderung verwendet werden, die client_id, mi_res_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.
mi_res_id	Abfrage	(Optional:) Die Azure-Ressourcen-ID der benutzerseitig zugewiesenen Identität, die verwendet werden soll. Kann nicht für eine Anforderung verwendet werden, die principal_id, client_id oder object_id einschließt. Wenn keiner der ID-Parameter (client_id, principal_id, object_id, mi_res_id) angegeben ist, wird die systemseitig zugewiesene Identität verwendet.

Wichtig

Wenn Sie Token für benutzerseitig zugewiesene Identitäten abrufen möchten, müssen Sie eine der optionalen Eigenschaften einschließen. Andernfalls versucht der Tokendienst, ein Token für eine vom System zugewiesene Identität abzurufen, die möglicherweise nicht vorhanden ist.

Anzeigen verwalteter Identitäten

Sie können die systemseitig zugewiesenen und benutzerseitig zugewiesenen verwalteten Identitäten mithilfe des folgenden Azure CLI-Befehls anzeigen. Die Ausgabe zeigt den Typ der verwalteten Identität, Mandanten-IDs und Prinzipal-IDs aller verwalteten Identitäten an, die Ihrer Container-App zugewiesen sind.

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

Entfernen einer verwalteten Identität

Wenn Sie eine vom System zugewiesene Identität entfernen, wird sie aus Microsoft Entra ID gelöscht. Vom System zugewiesene Identitäten werden auch automatisch aus der Microsoft Entra-ID entfernt, wenn Sie die Container-App-Ressource selbst löschen. Durch das Entfernen von vom Benutzer zugewiesenen verwalteten Identitäten aus Ihrer Container-App werden sie nicht aus der Microsoft Entra-ID entfernt.

Azure portal

1. Scrollen Sie im linken Navigationsbereich der Seite Ihrer App nach unten zur Gruppe Einstellungen.

2. Wählen Sie Identität aus. Führen Sie dann die Schritte basierend auf dem Identitätstyp aus:

   • Vom System zugewiesene Identität: Ändern Sie auf der Registerkarte Vom System zugewiesen den Status zu Aus. Wählen Sie Speichern.
   • Vom Benutzer zugewiesene Identität: Klicken Sie auf die Registerkarte Vom Benutzer zugewiesen, aktivieren Sie das Kontrollkästchen für die Identität, und klicken Sie auf Entfernen. Klicken Sie auf Ja, um zu bestätigen.

Azure-Befehlszeilenschnittstelle

Um die systemseitig zugewiesene Identität zu entfernen:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

So entfernen Sie eine oder mehrere vom Benutzer zugewiesene Identitäten:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

So entfernen Sie alle benutzerseitig zugewiesenen Identitäten:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

ARM-Vorlage

Um alle Identitäten zu entfernen, legen Sie den type der Identität der Container-App in der ARM-Vorlage auf None fest.

"identity": {
    "type": "None"
}

YAML

Um alle Identitäten zu entfernen, legen Sie die type Identität der Container-App in der YAML-Konfigurationsdatei fest None :

identity:
    type: None

Nächste Schritte

Überwachen einer App