Erkunden verwalteter Identitäten

  • 3 Minuten

Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten.

Während Entwickler die Geheimnisse in Azure Key Vault sicher speichern können, benötigen Dienste eine Möglichkeit zum Zugriff auf Azure Key Vault. Verwaltete Identitäten bieten eine automatisch verwaltete Identität in Microsoft Entra ID, die Anwendungen verwenden können, wenn sie sich mit Ressourcen verbinden, die die Microsoft Entra-Authentifizierung unterstützen. Anwendungen können mithilfe verwalteter Identitäten Microsoft Entra-Token abrufen, ohne Anmeldeinformationen verwalten zu müssen.

Typen verwalteter Identitäten

Es gibt zwei Arten von verwalteten Identitäten:

  • Eine vom System zugewiesene verwaltete Identität wird direkt für eine Azure-Dienstinstanz aktiviert. Wenn die Identität aktiviert ist, erstellt Azure eine Identität für die Instanz in dem Microsoft Entra-Mandanten, der vom Abonnement der Instanz als vertrauenswürdig eingestuft wird. Nach dem Erstellen der Identität werden die Anmeldeinformationen in der Instanz bereitgestellt. Der Lebenszyklus einer vom System zugewiesenen Identität ist direkt an die Azure-Dienstinstanz gebunden, für die sie aktiviert wurde. Wenn die Instanz gelöscht wird, bereinigt Azure automatisch die Anmeldeinformationen und die Identität in Microsoft Entra ID.
  • Eine vom Benutzer zugewiesene verwaltete Identität wird als eigenständige Azure-Ressource erstellt. Durch einen Erstellprozess erstellt Azure eine Identität im Microsoft Entra-Mandanten, die vom genutzten Abonnement als vertrauenswürdig angesehen wird. Nachdem die Identität erstellt wurde, kann sie einer oder mehreren Azure-Dienstinstanzen zugewiesen werden. Der Lebenszyklus einer vom Benutzer zugewiesenen Identität wird getrennt vom Lebenszyklus der Azure-Dienstinstanzen verwaltet, denen sie zugewiesen ist.

Intern sind verwaltete Identitäten eine Sonderform von Dienstprinzipalen, die nur mit Azure-Ressourcen verwendet werden können. Wenn die verwaltete Identität gelöscht wird, wird automatisch auch der entsprechende Dienstprinzipal entfernt.

Merkmale verwalteter Identitäten

In der folgenden Tabelle sind einige der wichtigsten Unterschiede zwischen den beiden Typen verwalteter Identitäten aufgeführt.

Eigenschaft Systemseitig zugewiesene verwaltete Identität Benutzerseitig zugewiesene verwaltete Identität
Erstellung Erstellt als Teil einer Azure-Ressource (zum Beispiel eines virtuellen Azure-Computers oder eines Azure App Service) Erstellt als eigenständige Azure-Ressource
Lebenszyklus Gemeinsamer Lebenszyklus mit der Azure-Ressource, für die die verwaltete Identität erstellt wurde. Wenn die übergeordnete Ressource gelöscht wird, wird auch die verwaltete Identität gelöscht. Unabhängiger Lebenszyklus. Muss explizit gelöscht werden.
Gemeinsame Nutzung zwischen Azure-Ressourcen Kann nicht freigegeben und nur einer einzelnen Azure-Ressource zugeordnet werden. Gemeinsame Nutzung möglich. Die gleiche benutzerseitig zugewiesene verwaltete Identität kann mehreren Azure-Ressourcen zugeordnet werden.

Im Folgenden finden Sie häufige Anwendungsfälle für verwaltete Identitäten:

  • Systemseitig zugewiesene verwaltete Identität

    • Workloads innerhalb einer einzelnen Azure-Ressource.
    • Workloads, die unabhängige Identitäten benötigen.
    • Beispiel: Eine Anwendung, die auf einer einzelnen VM ausgeführt wird.

  • Benutzerseitig zugewiesene verwaltete Identität

    • Workloads, die auf mehreren Ressourcen ausgeführt werden und eine einzige Identität teilen können.
    • Workloads, die im Rahmen eines Bereitstellungsablaufs vorab für eine sichere Ressource autorisiert werden müssen.
    • Workloads, bei denen Ressourcen häufig recycelt werden, die Berechtigungen aber konsistent bleiben sollen.
    • Beispielsweise eine Workload, bei der mehrere virtuelle Computer auf die gleiche Ressource zugreifen müssen.

Welche Azure-Dienste unterstützen verwaltete Identitäten?

Verwaltete Identitäten für Azure-Ressourcen können zur Authentifizierung bei Diensten verwendet werden, die die Microsoft Entra-Authentifizierung unterstützen. Eine Liste der Azure-Dienste, die das Feature „Verwaltete Identitäten für Azure-Ressourcen“ unterstützen, finden Sie unter Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen.

Im restlichen Teil dieses Moduls werden in den Beispielen Azure-VMs verwendet. Dieselben Konzepte und ähnliche Aktionen können aber auf jede Ressource in Azure angewendet werden, die die Microsoft Entra-Authentifizierung unterstützt.