Delen via


Beheerde identiteiten gebruiken in Azure API Management

VAN TOEPASSING OP: Alle API Management-lagen

In dit artikel leest u hoe u een beheerde identiteit maakt voor een Azure API Management-exemplaar en hoe u deze kunt gebruiken voor toegang tot andere resources. Met een beheerde identiteit die door Microsoft Entra ID wordt gegenereerd, kan uw API Management-exemplaar eenvoudig en veilig toegang krijgen tot andere met Microsoft Entra beveiligde resources, zoals Azure Key Vault. Azure beheert deze identiteit, zodat u geen geheimen hoeft in te richten of te roteren. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie over beheerde identiteiten.

U kunt twee typen identiteiten toekenning aan een API Management-exemplaar:

  • Een door het systeem toegewezen identiteit is gekoppeld aan uw service en wordt verwijderd als uw service wordt verwijderd. De service kan slechts één door het systeem toegewezen identiteit hebben.
  • Een door de gebruiker toegewezen identiteit is een autonome Azure-resource die kan worden toegewezen aan uw service. De service kan meerdere door de gebruiker toegewezen identiteiten hebben.

Notitie

Beheerde identiteiten zijn specifiek voor de Microsoft Entra-tenant waar uw Azure-abonnement wordt gehost. Ze worden niet bijgewerkt als een abonnement wordt verplaatst naar een andere map. Als een abonnement wordt verplaatst, moet u de identiteiten opnieuw maken en configureren.

Notitie

Deze functie is momenteel niet beschikbaar in werkruimten.

Een door het systeem toegewezen beheerde identiteit maken

Azure Portal

Als u een beheerde identiteit wilt instellen in Azure Portal, maakt u eerst een API Management-exemplaar en schakelt u vervolgens de functie in.

  1. Maak een API Management-exemplaar in de portal zoals u dat normaal zou doen. Blader ernaar in de portal.

  2. Selecteer beheerde identiteiten in het linkermenu onder Beveiliging.

  3. Schakel op het tabblad Door systeem toegewezen status over naar Aan. Selecteer Opslaan.

    Selecties voor het inschakelen van een door het systeem toegewezen beheerde identiteit

Azure PowerShell

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

De volgende stappen helpen u bij het maken van een API Management-exemplaar en het toewijzen van een identiteit met behulp van Azure PowerShell.

  1. Installeer Zo nodig Azure PowerShell met behulp van de instructies in de Azure PowerShell-handleiding. Connect-AzAccount Voer vervolgens uit om een verbinding met Azure te maken.

  2. Gebruik de volgende code om het exemplaar te maken met een door het systeem toegewezen beheerde identiteit. Zie voorbeelden van API Management PowerShell voor meer voorbeelden van het gebruik van Azure PowerShell met een API Management-exemplaar.

    # Create a resource group.
    New-AzResourceGroup -Name $resourceGroupName -Location $location
    
    # Create an API Management Consumption Sku service.
    New-AzApiManagement -ResourceGroupName $resourceGroupName -Name consumptionskuservice -Location $location -Sku Consumption -Organization contoso -AdminEmail contoso@contoso.com -SystemAssignedIdentity
    

U kunt ook een bestaand exemplaar bijwerken om de identiteit te maken:

# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName

# Update an API Management instance
Set-AzApiManagement -InputObject $apimService -SystemAssignedIdentity

Azure Resource Manager-sjabloon

U kunt een API Management-exemplaar maken met een door het systeem toegewezen identiteit door de volgende eigenschap in de resourcedefinitie op te geven:

"identity" : {
    "type" : "SystemAssigned"
}

Deze eigenschap vertelt Azure om de identiteit voor uw API Management-exemplaar te maken en te beheren.

Een volledige Azure Resource Manager-sjabloon kan er bijvoorbeeld als volgt uitzien:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "0.9.0.0",
    "resources": [{
        "apiVersion": "2021-08-01",
        "name": "contoso",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {},
        "sku": {
            "name": "Developer",
            "capacity": "1"
        },
        "properties": {
            "publisherEmail": "admin@contoso.com",
            "publisherName": "Contoso"
        },
        "identity": {
            "type": "systemAssigned"
        }
    }]
}

Wanneer het exemplaar wordt gemaakt, heeft het de volgende aanvullende eigenschappen:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<TENANTID>",
    "principalId": "<PRINCIPALID>"
}

De tenantId eigenschap identificeert tot welke Microsoft Entra-tenant de identiteit behoort. De principalId eigenschap is een unieke id voor de nieuwe identiteit van het exemplaar. Binnen Microsoft Entra-id heeft de service-principal dezelfde naam die u aan uw API Management-exemplaar hebt gegeven.

Notitie

Een API Management-exemplaar kan zowel door het systeem toegewezen als door de gebruiker toegewezen identiteiten tegelijkertijd hebben. In dit geval is SystemAssigned,UserAssignedde type eigenschap .

Toegang tot Key Vault configureren met behulp van een beheerde identiteit

De volgende configuraties zijn nodig voor API Management voor toegang tot geheimen en certificaten uit een Azure-sleutelkluis.

Toegang tot key vault configureren

  1. Navigeer in de portal naar uw sleutelkluis.

  2. Selecteer in het linkermenu De configuratie van Access en noteer het machtigingsmodel dat is geconfigureerd.

  3. Afhankelijk van het machtigingsmodel configureert u een toegangsbeleid voor key vault of Azure RBAC-toegang voor een beheerde API Management-identiteit.

    Ga als volgende te werk om toegangsbeleid voor key vault toe te voegen:

    1. Selecteer toegangsbeleid in het linkermenu.
    2. Selecteer + Maken op de pagina Toegangsbeleid.
    3. Selecteer Op het tabblad Machtigingen onder Geheime machtigingen de optie Ophalen en lijst en selecteer vervolgens Volgende.
    4. Selecteer principal op het tabblad Principal, zoek de resourcenaam van uw beheerde identiteit en selecteer vervolgens Volgende. Als u een door het systeem toegewezen identiteit gebruikt, is de principal de naam van uw API Management-exemplaar.
    5. Selecteer Volgende opnieuw. Selecteer op het tabblad Beoordelen en maken de optie Maken.

    Azure RBAC-toegang configureren:

    1. Selecteer toegangsbeheer (IAM) in het linkermenu.
    2. Selecteer Op de pagina Toegangsbeheer (IAM) de optie Roltoewijzing toevoegen.
    3. Selecteer op het tabblad Rol de sleutelkluiscertificaatgebruiker.
    4. Selecteer Op het tabblad Leden beheerde identiteit>+ Leden selecteren.
    5. Selecteer op de pagina Beheerde identiteit selecteren de door het systeem toegewezen beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit die is gekoppeld aan uw API Management-exemplaar en selecteer vervolgens Selecteren.
    6. Selecteer Controleren + toewijzen.

Vereisten voor Key Vault-firewall

Als Key Vault-firewall is ingeschakeld voor uw sleutelkluis, zijn de volgende aanvullende vereisten:

  • U moet de door het systeem toegewezen beheerde identiteit van het API Management-exemplaar gebruiken om toegang te krijgen tot de sleutelkluis.

  • Schakel in key Vault-firewall de optie Vertrouwde Microsoft-services toestaan in om deze firewalloptie te omzeilen.

  • Zorg ervoor dat uw lokale client-IP-adres tijdelijk toegang heeft tot de sleutelkluis terwijl u een certificaat of geheim selecteert om toe te voegen aan Azure API Management. Zie Azure Key Vault-netwerkinstellingen configureren voor meer informatie.

    Nadat u de configuratie hebt voltooid, kunt u het clientadres blokkeren in de firewall van de sleutelkluis.

Vereisten voor het virtuele netwerk

Als het API Management-exemplaar wordt geïmplementeerd in een virtueel netwerk, configureert u ook de volgende netwerkinstellingen:

  • Schakel een service-eindpunt in voor Azure Key Vault in het API Management-subnet.
  • Configureer een netwerkbeveiligingsgroepregel (NSG) om uitgaand verkeer naar de AzureKeyVault- en AzureActiveDirectory-servicetags toe te staan.

Zie De netwerkconfiguratie bij het instellen van Azure API Management in een VNet voor meer informatie.

Ondersteunde scenario's met behulp van door het systeem toegewezen identiteit

Een aangepast TLS/SSL-certificaat verkrijgen voor het API Management-exemplaar van Azure Key Vault

U kunt de door het systeem toegewezen identiteit van een API Management-exemplaar gebruiken om aangepaste TLS/SSL-certificaten op te halen die zijn opgeslagen in Azure Key Vault. U kunt deze certificaten vervolgens toewijzen aan aangepaste domeinen in het API Management-exemplaar. Houd rekening met deze overwegingen:

  • Het inhoudstype van het geheim moet toepassing/x-pkcs12 zijn. Meer informatie over aangepaste domeincertificaatvereisten.
  • Gebruik het sleutelkluiscertificaatgeheimeindpunt dat het geheim bevat.

Belangrijk

Als u de objectversie van het certificaat niet opgeeft, verkrijgt API Management binnen vier uur nadat het is bijgewerkt in Key Vault automatisch de nieuwere versie van het certificaat.

In het volgende voorbeeld ziet u een Azure Resource Manager-sjabloon die gebruikmaakt van de door het systeem toegewezen beheerde identiteit van een API Management-service-exemplaar om een aangepast domeincertificaat op te halen uit Key Vault.

Vereisten

  • Een API Management-service-exemplaar dat is geconfigureerd met een door het systeem toegewezen beheerde identiteit. Als u het exemplaar wilt maken, kunt u een Azure-snelstartsjabloon gebruiken.
  • Een Azure Key Vault-exemplaar in dezelfde resourcegroep, die als host fungeert voor een certificaat dat wordt gebruikt als een aangepast domeincertificaat in API Management.

De volgende sjabloon bevat de volgende stappen.

  1. Werk het toegangsbeleid van het Azure Key Vault-exemplaar bij en sta het API Management-exemplaar toe om er geheimen van te verkrijgen.
  2. Werk het API Management-exemplaar bij door een aangepaste domeinnaam in te stellen via het certificaat van het Key Vault-exemplaar.

Wanneer u de sjabloon uitvoert, geeft u parameterwaarden op die geschikt zijn voor uw omgeving.

{
	"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
	"contentVersion": "1.0.0.0",
	"parameters": {
        "apiManagementServiceName": {
            "type": "string",
            "minLength": 8,
            "metadata":{
                "description": "The name of the API Management service"
            }
        },
		"publisherEmail": {
			"type": "string",
			"minLength": 1,
			"metadata": {
				"description": "The email address of the owner of the service"
			}
		},
		"publisherName": {
			"type": "string",
			"minLength": 1,
			"metadata": {
				"description": "The name of the owner of the service"
			}
		},
		"sku": {
			"type": "string",
			"allowedValues": ["Developer",
			"Standard",
			"Premium"],
			"defaultValue": "Developer",
			"metadata": {
				"description": "The pricing tier of this API Management service"
			}
		},
		"skuCount": {
			"type": "int",
			"defaultValue": 1,
			"metadata": {
				"description": "The instance size of this API Management service."
			}
		},
        "keyVaultName": {
            "type": "string",
            "metadata": {
                "description": "Name of the key vault"
            }
        },
		"proxyCustomHostname1": {
			"type": "string",
			"metadata": {
				"description": "Gateway custom hostname 1. Example: api.contoso.com"
			}
		},
		"keyVaultIdToCertificate": {
			"type": "string",
			"metadata": {
				"description": "Reference to the key vault certificate. Example: https://contoso.vault.azure.net/secrets/contosogatewaycertificate"
			}
		}
	},
	 "variables": {
        "apimServiceIdentityResourceId": "[concat(resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName')),'/providers/Microsoft.ManagedIdentity/Identities/default')]"
		    },
	"resources": [ 
   {
        "apiVersion": "2021-08-01",
        "name": "[parameters('apiManagementServiceName')]",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {
        },
        "sku": {
            "name": "[parameters('sku')]",
            "capacity": "[parameters('skuCount')]"
        },
        "properties": {
            "publisherEmail": "[parameters('publisherEmail')]",
            "publisherName": "[parameters('publisherName')]"
        },
        "identity": {
            "type": "systemAssigned"
        }
    },
    {
        "type": "Microsoft.KeyVault/vaults/accessPolicies",
        "name": "[concat(parameters('keyVaultName'), '/add')]",
        "apiVersion": "2018-02-14",
        "properties": {
            "accessPolicies": [{
                "tenantId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').tenantId]",
                "objectId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').principalId]",
                "permissions": {
                     "secrets": ["get", "list"]
                }
            }]
        }
    },
	{
        "apiVersion": "2021-04-01",
		"type": "Microsoft.Resources/deployments",
        "name": "apimWithKeyVault",
		 "dependsOn": [
        "[resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName'))]"
        ],
        "properties": {
            "mode": "incremental",
            "template": {
                "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
				"contentVersion": "1.0.0.0",
				"parameters": {},			
				"resources": [{
					"apiVersion": "2021-08-01",
					"name": "[parameters('apiManagementServiceName')]",
					"type": "Microsoft.ApiManagement/service",
					"location": "[resourceGroup().location]",
					"tags": {
					},
					"sku": {
						"name": "[parameters('sku')]",
						"capacity": "[parameters('skuCount')]"
					},
					"properties": {
						"publisherEmail": "[parameters('publisherEmail')]",
						"publisherName": "[parameters('publisherName')]",
						"hostnameConfigurations": [{
							"type": "Proxy",
							"hostName": "[parameters('proxyCustomHostname1')]",
							"keyVaultId": "[parameters('keyVaultIdToCertificate')]"
						}]
					},
					"identity": {
						"type": "systemAssigned"
					}
				}]
		}
		}
	}
]
}

Benoemde waarden opslaan en beheren vanuit Azure Key Vault

U kunt een door het systeem toegewezen beheerde identiteit gebruiken om toegang te krijgen tot Azure Key Vault om geheimen op te slaan en te beheren voor gebruik in API Management-beleid. Zie Benoemde waarden gebruiken in Azure API Management-beleid voor meer informatie.

Verifiëren bij een back-end met behulp van een API Management-identiteit

U kunt de door het systeem toegewezen identiteit gebruiken om te verifiëren bij een back-endservice via het beleid voor door verificatie beheerde identiteit .

Verbinding maken met Azure-resources achter IP-firewall met behulp van door het systeem toegewezen beheerde identiteit

API Management is een vertrouwde Microsoft-service voor de volgende resources. Hierdoor kan de service verbinding maken met de volgende resources achter een firewall. Nadat u expliciet de juiste Azure-rol hebt toegewezen aan de door het systeem toegewezen beheerde identiteit voor dat resource-exemplaar, komt het toegangsbereik voor het exemplaar overeen met de Azure-rol die is toegewezen aan de beheerde identiteit.

Azure-service Koppeling
Azure Key Vault Vertrouwde toegang tot-azure-key-vault
Azure Storage Vertrouwde toegang tot azure-storage
Azure Service Bus Vertrouwde toegang tot-azure-service-bus
Azure Event Hubs Vertrouwde toegang tot-azure-event-hub

Gebeurtenissen registreren bij een Event Hub

U kunt een door het systeem toegewezen beheerde identiteit configureren en gebruiken voor toegang tot een Event Hub voor het registreren van gebeurtenissen vanuit een API Management-exemplaar. Zie Gebeurtenissen registreren bij Azure Event Hubs in Azure API Management voor meer informatie.

Een door de gebruiker toegewezen beheerde identiteit maken

Notitie

U kunt een API Management-exemplaar koppelen aan maximaal 10 door de gebruiker toegewezen beheerde identiteiten.

Azure Portal

Als u een beheerde identiteit in de portal wilt instellen, maakt u eerst een API Management-exemplaar en maakt u een door de gebruiker toegewezen identiteit. Schakel vervolgens de functie in.

  1. Maak een API Management-exemplaar in de portal zoals u dat normaal zou doen. Blader ernaar in de portal.

  2. Selecteer beheerde identiteiten in het linkermenu onder Beveiliging.

  3. Selecteer Toevoegen op het tabblad Toegewezen gebruiker.

  4. Zoek naar de identiteit die u eerder hebt gemaakt en selecteer deze. Selecteer Toevoegen.

    Selecties voor het inschakelen van een door de gebruiker toegewezen beheerde identiteit

Azure PowerShell

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

De volgende stappen helpen u bij het maken van een API Management-exemplaar en het toewijzen van een identiteit met behulp van Azure PowerShell.

  1. Installeer de Azure PowerShell indien nodig met behulp van de instructies in de Azure PowerShell-handleiding. Connect-AzAccount Voer vervolgens uit om een verbinding met Azure te maken.

  2. Gebruik de volgende code om het exemplaar te maken. Zie voorbeelden van API Management PowerShell voor meer voorbeelden van het gebruik van Azure PowerShell met een API Management-exemplaar.

    # Create a resource group.
    New-AzResourceGroup -Name $resourceGroupName -Location $location
    
    # Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module.
    $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName
    
    # Create an API Management Consumption Sku service.
    $userIdentities = @($userAssignedIdentity.Id)
    
    New-AzApiManagement -ResourceGroupName $resourceGroupName -Location $location -Name $apiManagementName -Organization contoso -AdminEmail admin@contoso.com -Sku Consumption -UserAssignedIdentity $userIdentities
    

U kunt ook een bestaande service bijwerken om een identiteit toe te wijzen aan de service:

# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName

# Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module.
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName

# Update an API Management instance
$userIdentities = @($userAssignedIdentity.Id)
Set-AzApiManagement -InputObject $apimService -UserAssignedIdentity $userIdentities

Azure Resource Manager-sjabloon

U kunt een API Management-exemplaar met een identiteit maken door de volgende eigenschap op te neem in de resourcedefinitie:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {}
    }
}

Als u het door de gebruiker toegewezen type toevoegt, moet Azure de door de gebruiker toegewezen identiteit gebruiken die is opgegeven voor uw exemplaar.

Een volledige Azure Resource Manager-sjabloon kan er bijvoorbeeld als volgt uitzien:

{
    "$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
    "contentVersion": "0.9.0.0",
    "resources": [{
        "apiVersion": "2021-08-01",
        "name": "contoso",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {},
        "sku": {
            "name": "Developer",
            "capacity": "1"
        },
        "properties": {
            "publisherEmail": "admin@contoso.com",
            "publisherName": "Contoso"
        },
        "identity": {
            "type": "UserAssigned",
             "userAssignedIdentities": {
                "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
             }
        },
         "dependsOn": [
          "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
        ]
    }]
}

Wanneer de service wordt gemaakt, heeft deze de volgende aanvullende eigenschappen:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
        }
    }
}

De principalId eigenschap is een unieke id voor de identiteit die wordt gebruikt voor Microsoft Entra-beheer. De clientId eigenschap is een unieke id voor de nieuwe identiteit van de toepassing die wordt gebruikt voor het opgeven van de identiteit die moet worden gebruikt tijdens runtime-aanroepen.

Notitie

Een API Management-exemplaar kan zowel door het systeem toegewezen als door de gebruiker toegewezen identiteiten tegelijkertijd hebben. In dit geval is SystemAssigned,UserAssignedde type eigenschap .

Ondersteunde scenario's met door de gebruiker toegewezen beheerde identiteit

Een aangepast TLS/SSL-certificaat verkrijgen voor het API Management-exemplaar van Azure Key Vault

U kunt een door de gebruiker toegewezen identiteit gebruiken om een vertrouwensrelatie tot stand te brengen tussen een API Management-exemplaar en Azure Key Vault. Deze vertrouwensrelatie kan vervolgens worden gebruikt om aangepaste TLS/SSL-certificaten op te halen die zijn opgeslagen in Azure Key Vault. U kunt deze certificaten vervolgens toewijzen aan aangepaste domeinen in het API Management-exemplaar.

Belangrijk

Als Key Vault-firewall is ingeschakeld voor uw sleutelkluis, kunt u geen door de gebruiker toegewezen identiteit gebruiken voor toegang vanuit API Management. U kunt in plaats daarvan de door het systeem toegewezen identiteit gebruiken. In de Key Vault-firewall moet de optie Vertrouwde Microsoft-services toestaan om deze firewalloptie te omzeilen ook zijn ingeschakeld.

Houd rekening met deze overwegingen:

  • Het inhoudstype van het geheim moet toepassing/x-pkcs12 zijn.
  • Gebruik het sleutelkluiscertificaatgeheimeindpunt dat het geheim bevat.

Belangrijk

Als u de objectversie van het certificaat niet opgeeft, verkrijgt API Management binnen vier uur nadat het is bijgewerkt in Key Vault automatisch de nieuwere versie van het certificaat.

Benoemde waarden opslaan en beheren vanuit Azure Key Vault

U kunt een door de gebruiker toegewezen beheerde identiteit gebruiken om toegang te krijgen tot Azure Key Vault voor het opslaan en beheren van geheimen voor gebruik in API Management-beleid. Zie Benoemde waarden gebruiken in Azure API Management-beleid voor meer informatie.

Notitie

Als Key Vault-firewall is ingeschakeld voor uw sleutelkluis, kunt u geen door de gebruiker toegewezen identiteit gebruiken voor toegang vanuit API Management. U kunt in plaats daarvan de door het systeem toegewezen identiteit gebruiken. In de Key Vault-firewall moet de optie Vertrouwde Microsoft-services toestaan om deze firewalloptie te omzeilen ook zijn ingeschakeld.

Verifiëren bij een back-end met behulp van een door de gebruiker toegewezen identiteit

U kunt de door de gebruiker toegewezen identiteit gebruiken om te verifiëren bij een back-endservice via het beleid voor door verificatie beheerde identiteit .

Gebeurtenissen registreren bij een Event Hub

U kunt een door de gebruiker toegewezen beheerde identiteit configureren en gebruiken voor toegang tot een Event Hub voor het registreren van gebeurtenissen vanuit een API Management-exemplaar. Zie Gebeurtenissen registreren bij Azure Event Hubs in Azure API Management voor meer informatie.

Een identiteit verwijderen

U kunt een door het systeem toegewezen identiteit verwijderen door de functie uit te schakelen via de portal of de Azure Resource Manager-sjabloon op dezelfde manier als die is gemaakt. Door de gebruiker toegewezen identiteiten kunnen afzonderlijk worden verwijderd. Als u alle identiteiten wilt verwijderen, stelt u het identiteitstype in op "None".

Als u een door het systeem toegewezen identiteit op deze manier verwijdert, wordt deze ook verwijderd uit de Microsoft Entra-id. Door het systeem toegewezen identiteiten worden ook automatisch verwijderd uit Microsoft Entra ID wanneer het API Management-exemplaar wordt verwijderd.

Als u alle identiteiten wilt verwijderen met behulp van de Azure Resource Manager-sjabloon, werkt u deze sectie bij:

"identity": {
    "type": "None"
}

Belangrijk

Als een API Management-exemplaar is geconfigureerd met een aangepast SSL-certificaat van Key Vault en u probeert een beheerde identiteit uit te schakelen, mislukt de aanvraag.

U kunt uzelf deblokkeren door over te schakelen van een Azure Key Vault-certificaat naar een inline gecodeerd certificaat en vervolgens de beheerde identiteit uit te schakelen. Zie Een aangepaste domeinnaam configureren voor meer informatie.

Volgende stappen

Meer informatie over beheerde identiteiten voor Azure-resources: