Freigeben über


Was sind verwaltete Identitäten für Azure-Ressourcen?

Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Die manuelle Behandlung von geheimen Schlüsseln und Zertifikaten ist eine bekannte Quelle für Sicherheitsprobleme und Ausfälle. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten. Anwendungen können verwaltete Identitäten verwenden, um Microsoft Entra-Token abzurufen, ohne Anmeldeinformationen verwalten zu müssen.

Was sind verwaltete Identitäten?

Auf hoher Ebene gibt es zwei Arten von Identitäten: Mensch und Maschine/Nicht-Menschliche Identitäten. Computer-/Nicht-Menschliche Identitäten bestehen aus Geräte- und Workloadidentitäten. In Microsoft Entra sind Workload-Identitäten Anwendungen, Dienstprinzipale und verwaltete Identitäten. Weitere Informationen zu Workload-Identitäten finden Sie unter Workload-Identitäten.

Eine verwaltete Identität ist eine Identität, die einer Azure-Computeressource (VIRTUAL Machine (VM), Vm Scale Set (VMSS), Service Fabric Cluster, Azure Kubernetes-Cluster) oder einer von Azure unterstützten App-Hostingplattform zugewiesen werden kann. Sobald der Computeressource eine verwaltete Identität zugewiesen wurde, kann sie direkt oder indirekt für den Zugriff auf nachgeschaltete Abhängigkeitsressourcen wie ein Speicherkonto, eine SQL-Datenbank, CosmosDB usw. autorisiert werden. Verwaltete Identität ersetzt geheime Schlüssel wie Zugriffstasten oder Kennwörter. Darüber hinaus können verwaltete Identitäten Zertifikate oder andere Authentifizierungsformen für Dienst-zu-Dienst-Abhängigkeiten ersetzen.

Das folgende Video zeigt, wie Sie verwaltete Identitäten verwenden können:

Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:

  • Sie brauchen keine Anmeldeinformationen zu verwalten. Sie haben nicht einmal Zugriff auf die Anmeldeinformationen.
  • Sie können verwaltete Identitäten zur Authentifizierung bei einer beliebigen Ressource verwenden, die Microsoft Entra-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
  • Verwaltete Identitäten können ohne zusätzliche Kosten genutzt werden.

Arten von verwalteten Identitäten

Es gibt zwei Arten von verwalteten Identitäten:

  • systemseitig zugewiesen. Einige Azure-Ressourcen, z. B. virtuelle Computer, ermöglichen Ihnen, eine verwaltete Identität direkt für die Ressource zu aktivieren. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, geschieht Folgendes:

    • In Microsoft Entra ID wird ein spezieller Dienstprinzipal für die Identität erstellt. Der Dienstprinzipal ist an den Lebenszyklus dieser Azure-Ressource gebunden. Wenn die Azure-Ressource gelöscht wird, löscht Azure automatisch den Dienstprinzipal für Sie.
    • Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Microsoft Entra ID verwenden.
    • Sie autorisieren die verwaltete Identität zum Zugriff auf einen oder mehrere Dienste.
    • Der Name des systemseitig zugewiesenen Dienstprinzipals ist immer mit dem Namen der Azure-Ressource identisch, für die er erstellt wird. Bei einem Bereitstellungsslot lautet der Name der systemseitig zugewiesenen Identität <app-name>/slots/<slot-name>.
  • Benutzerseitig zugewiesen. Sie können auch eine verwaltete Identität als eigenständige Azure-Ressource erstellen. Sie können eine benutzerseitig zugewiesene verwaltete Identität erstellen und sie einer oder mehreren Azure-Ressourcen zuweisen. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität aktivieren, geschieht Folgendes:

    • In Microsoft Entra ID wird ein spezieller Dienstprinzipal für die Identität erstellt. Der Dienstprinzipal wird getrennt von den Ressourcen verwaltet, die ihn verwenden.
    • Benutzerseitig zugewiesene Identitäten können für mehrere Ressourcen verwendet werden.
    • Sie autorisieren die verwaltete Identität zum Zugriff auf einen oder mehrere Dienste.

    Vom Benutzer zugewiesene Identitäten, die unabhängig von der Berechnung bereitgestellt werden und mehreren Computeressourcen zugewiesen werden können, sind der empfohlene verwaltete Identitätstyp für Microsoft-Dienste.

Ressourcen, die systemseitig zugewiesene verwaltete Identitäten unterstützen, ermöglichen Folgendes:

Falls Sie stattdessen eine benutzerseitig zugewiesene verwaltete Identität verwenden möchten:

Vorgänge für verwaltete Identitäten können mithilfe einer Azure Resource Manager-Vorlage, über das Azure-Portal, die Azure CLI, PowerShell und REST-APIs ausgeführt werden.

Unterschiede zwischen vom System zugewiesenen und vom Benutzer zugewiesenen verwalteten Identitäten

Eigenschaft Systemseitig zugewiesene verwaltete Identität Benutzerseitig zugewiesene verwaltete Identität
Erstellung Erstellt als Teil einer Azure-Ressource (z. B. Azure Virtual Machines oder Azure App Service). Als eigenständige Azure-Ressource erstellt.
Lebenszyklus Gemeinsamer Lebenszyklus mit der Azure-Ressource, für die die verwaltete Identität erstellt wurde.
Wenn die übergeordnete Ressource gelöscht wird, wird auch die verwaltete Identität gelöscht.
Unabhängiger Lebenszyklus.
Muss explizit gelöscht werden.
Gemeinsame Nutzung zwischen Azure-Ressourcen Kann nicht freigegeben werden.
Kann nur einer einzelnen Azure-Ressource zugeordnet werden.
Gemeinsame Nutzung möglich.
Die gleiche benutzerseitig zugewiesene verwaltete Identität kann mehreren Azure-Ressourcen zugeordnet werden.
Gängige Anwendungsfälle Workloads innerhalb einer einzelnen Azure-Ressource.
Workloads, die unabhängige Identitäten benötigen.
Beispiel: Eine Anwendung, die auf einer einzelnen VM ausgeführt wird.
Workloads, die auf mehrere Ressourcen ausgeführt werden und eine einzelne Identität gemeinsam nutzen können.
Workloads, die im Rahmen eines Bereitstellungsablaufs vorab für eine sichere Ressource autorisiert werden müssen.
Workloads, bei denen Ressourcen häufig recycelt werden, die Berechtigungen aber konsistent bleiben sollen.
Beispielsweise eine Workload, bei der mehrere virtuelle Computer auf die gleiche Ressource zugreifen müssen.

Wie kann ich verwaltete Identitäten für Azure-Ressourcen verwenden?

Sie können verwaltete Identitäten verwenden, indem Sie die folgenden Schritte ausführen:

  1. Erstellen einer verwalteten Identität in Azure. Sie können zwischen der vom System zugewiesenen verwalteten Identität oder der vom Benutzer zugewiesenen verwalteten Identität wählen.
    1. Bei Verwendung einer vom Benutzer zugewiesenen verwalteten Identität weisen Sie die verwaltete Identität der „Quell“-Azure-Ressource zu, z. B. einer VM, Azure-Logik-App oder Azure-Web-App.
  2. Autorisieren Sie die verwaltete Identität, um Zugriff auf den Zieldienst zu haben.
  3. Verwenden Sie die verwaltete Identität, um auf eine Ressource zuzugreifen. In diesem Schritt können Sie das Azure-SDK mit der Azure-Identitätsbibliothek verwenden. Einige „Quell“-Ressourcen bieten Anschlüsse, die wissen, wie verwaltete Identitäten für die Verbindungen verwendet werden. In diesem Fall verwenden Sie die Identität als Feature dieser „Quell“-Ressource.

Welche Azure-Dienste unterstützen das Feature?

Verwaltete Identitäten für Azure-Ressourcen können zum Authentifizieren bei Diensten verwendet werden, die die Microsoft Entra-Authentifizierung unterstützen. Eine Liste der verwalteten Identitäten finden Sie unter Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen.

Arbeiten mit verwalteten Identitäten

Verwaltete Identitäten können direkt oder als Verbundidentitäts-Anmeldeinformationen für Microsoft Entra-ID-Anwendungen verwendet werden.

Die Schritte zur Verwendung von verwalteten Identitäten sind wie folgt:

  1. Erstellen einer verwalteten Identität in Azure. Sie können zwischen der vom System zugewiesenen verwalteten Identität oder der vom Benutzer zugewiesenen verwalteten Identität wählen. Wenn Sie eine vom Benutzer zugewiesene verwaltete Identität verwenden, weisen Sie die verwaltete Identität der Azure-Quelle zu, z. B. einem virtuellen Computer, einer Azure Logic App oder einer Azure Web App.
  2. Autorisieren Sie die verwaltete Identität, um Zugriff auf den Zieldienst zu haben.
  3. Verwenden Sie die verwaltete Identität, um auf eine Ressource zuzugreifen. In diesem Schritt können Sie eine der Clientbibliotheken verwenden. Einige Ursprungsressourcen bieten Connectors, die darauf ausgelegt sind, verwaltete Identitäten für die Verbindungen zu nutzen. In diesem Fall verwenden Sie die Identität als Feature dieser Quellressource.

Direktes Verwenden der verwalteten Identität

Dienstcode, der in Ihrer Azure-Computeressource ausgeführt wird, verwendet entweder die Microsoft Authentication Library (MSAL) oder das Azure.Identity SDK, um ein verwaltetes Identitätstoken aus entra-ID abzurufen, die von der verwalteten Identität unterstützt wird. Diese Tokenerfassung erfordert keine geheimen Schlüssel und wird basierend auf der Umgebung, in der der Code ausgeführt wird, automatisch authentifiziert. Solange die verwaltete Identität autorisiert ist, kann der Dienstcode auf nachgeschaltete Abhängigkeiten zugreifen, die die Entra-ID-Authentifizierung unterstützen.

Sie können z. B. einen virtuellen Azure-Computer (VM) als Azure Compute verwenden. Anschließend können Sie eine vom Benutzer zugewiesene verwaltete Identität erstellen und sie der VM zuweisen. Der Workload, der auf den VM-Schnittstellen ausgeführt wird und sowohl Azure.Identity (oder MSAL) als auch Azure Storage-Client-SDKs nutzt, greift auf ein Speicherkonto zu. Die vom Benutzer zugewiesene verwaltete Identität ist berechtigt, auf das Speicherkonto zuzugreifen.

Verwenden der verwalteten Identität als Verbundidentitäts-Anmeldeinformationen (FIC) für eine Entra-ID-App

Der Workload-Identitätsverbund ermöglicht die Verwendung einer verwalteten Identität als Anmeldeinformationen, genau wie das Zertifikat oder das Kennwort, in Entra-ID-Anwendungen. Wenn eine Entra-ID-App erforderlich ist, ist dies die empfohlene Methode, um auf Anmeldeinformationen zu verzichten. Es gibt eine Beschränkung von 20 FICs, wenn verwaltete Identitäten als FIC für eine Entra ID-App verwendet werden.

Eine Workload, die in der Kapazität der Entra-ID-Anwendung fungiert, kann auf jedem Azure-Compute gehostet werden, der über eine verwaltete Identität verfügt. Die Workload verwendet die verwaltete Identität, um ein Token zu erwerben, das über den Workload-Identitätsverbund für ein Entra-ID-Anwendungstoken ausgetauscht werden soll. Dieses Feature wird auch als verwaltete Identität, bekannt als FIC (Federated Identity Credentials), bezeichnet. Weitere Informationen finden Sie unter Konfigurieren einer Anwendung, um einer verwalteten Identität zu vertrauen.

Nächste Schritte