Freigeben über

Verwalten benutzerseitig zugewiesener verwalteter Identitäten für eine Anwendung in Azure Spring Apps

  • Artikel

Hinweis

Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.

Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise

In diesem Artikel erfahren Sie, wie Sie benutzerseitig zugewiesene verwaltete Identitäten für eine Anwendung in Azure Spring Apps zuweisen und entfernen können. Dazu verwenden Sie das Azure-Portal und die Azure-Befehlszeilenschnittstelle.

Verwaltete Identitäten stellen für Azure-Ressourcen wie Ihre Anwendung in Azure Spring Apps eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.

Voraussetzungen

  • Eine bereits bereitgestellte Azure Spring Apps-Instanz. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen Ihrer ersten Anwendung in Azure Spring Apps.
  • Azure CLI (ab Version 2.45.0)
  • Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren: 
    az extension remove --name spring
az extension add --name spring
  • Mindestens eine bereits bereitgestellte benutzerseitig zugewiesene verwaltete Identität. Weitere Informationen finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.

Zuweisen von benutzerseitig zugewiesenen verwalteten Identitäten beim Erstellen einer Anwendung

Mit dem folgenden Befehl erstellen Sie eine Anwendung und weisen gleichzeitig eine benutzerseitig zugewiesene verwaltete Identität zu:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Zuweisen von benutzerseitig zugewiesenen verwalteten Identitäten zu einer vorhandenen Anwendung

Zum Zuweisen einer benutzerseitig zugewiesenen verwalteten Identität erfordert das Festlegen einer anderen Eigenschaft für die Anwendung.

Führen Sie die folgenden Schritte aus, um einer vorhandenen Anwendung im Azure-Portal eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen:

  1. Navigieren Sie wie gewohnt zu einer Anwendung im Azure-Portal.
  2. Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
  3. Wählen Sie Identität aus.
  4. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option Hinzufügen aus.
  5. Wählen Sie im rechten Bereich mindestens eine benutzerseitig zugewiesene verwaltete Identitäten und dann Hinzufügen aus.

Abrufen von Tokens für Azure-Ressourcen

Eine Anwendung kann mithilfe ihrer verwalteten Identität Token für den Zugriff auf andere durch Azure AD geschützte Ressourcen wie z. B. Azure Key Vault abrufen. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.

Sie müssen möglicherweise die Zielressource möglicherweise für den Zugriff über die Anwendung konfigurieren. Weitere Informationen finden Sie unter Zuweisen eines verwalteten Identitätszugriffs auf eine Azure-Ressource oder eine andere Ressource. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie sicherstellen, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe von Key Vault abgelehnt, auch wenn diese das Token enthalten. Informationen zu den Ressourcen, die Microsoft Entra-Tokens unterstützen, finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen

Azure Spring Apps und die Azure-VM nutzen den Endpunkt für den Tokenabruf gemeinsam. Es wird empfohlen, Token mit dem Java SDK oder mit Spring Boot-Startern abzurufen. Verschiedene Code- und Skriptbeispiele sowie Leitfäden zu wichtigen Themen wie der Behandlung von Tokenablauf und HTTP-Fehlern finden Sie unter Verwenden verwalteter Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen von Zugriffstoken.

Entfernen benutzerseitig zugewiesener verwalteter Identitäten aus einer vorhandenen App

Durch das Entfernen von benutzerseitig zugewiesenen verwalteten Identitäten wird die Zuweisung zwischen den Identitäten und der Anwendung entfernt, die Identitäten selbst werden aber nicht gelöscht.

Führen Sie die folgenden Schritte aus, um benutzerseitig zugewiesene verwaltete Identitäten aus einer Anwendung zu entfernen, die sie nicht mehr benötigt:

  1. Melden Sie sich beim Azure-Portal mit einem Konto an, das dem Azure-Abonnement zugeordnet ist, das die Azure Spring Apps-Instanz enthält.
  2. Navigieren Sie zur gewünschten Anwendung, und wählen Sie Identität aus.
  3. Wählen Sie unter Benutzerseitig zugewiesen die Zielidentitäten und dann Entfernen aus.

Einschränkungen

Informationen zu Einschränkungen bei benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Kontingente und Dienstpläne für Azure Spring Apps.

Nächste Schritte