Was sind verwaltete Identitäten für Azure-Ressourcen?

Die Verwaltung von Geheimnissen, Anmeldedaten, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Dank verwalteter Identitäten müssen Entwickler keine Anmeldedaten mehr verwalten.

Während Entwickler die Geheimnisse in Azure Key Vault sicher speichern können, benötigen Dienste eine Möglichkeit zum Zugriff auf Azure Key Vault. Verwaltete Identitäten bieten eine automatisch verwaltete Identität in Microsoft Entra ID, die Anwendungen verwenden können, wenn sie sich mit Ressourcen verbinden, die die Microsoft Entra-Authentifizierung unterstützen. Anwendungen können mithilfe verwalteter Identitäten Microsoft Entra-Token abrufen, ohne Anmeldedaten verwalten zu müssen.

Das folgende Video zeigt, wie Sie verwaltete Identitäten verwenden können:

Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:

  • Sie brauchen keine Anmeldedaten zu verwalten. Sie haben nicht einmal Zugriff auf die Anmeldedaten.
  • Sie können verwaltete Identitäten zur Authentifizierung bei einer beliebigen Ressource verwenden, die Microsoft Entra-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
  • Verwaltete Identitäten können ohne zusätzliche Kosten genutzt werden.

Hinweis

„Verwaltete Identitäten für Azure-Ressourcen“ ist der neue Name für den Dienst, der früher als „Verwaltete Dienstidentität“ (Managed Service Identity, MSI) bezeichnet wurde.

Arten von verwalteten Identitäten

Es gibt zwei Arten von verwalteten Identitäten:

  • Systemseitig zugewiesen: Einige Azure-Ressourcen, z. B. virtuelle Computer, ermöglichen Ihnen, eine verwaltete Identität direkt für die Ressource zu aktivieren. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, geschieht Folgendes:

    • Ein Dienstprinzipal eines speziellen Typs wird in Microsoft Entra ID für die Identität erstellt. Der Dienstprinzipal ist an den Lebenszyklus dieser Azure-Ressource gebunden. Wenn die Azure-Ressource gelöscht wird, löscht Azure automatisch den Dienstprinzipal für Sie.
    • Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Microsoft Entra ID verwenden.
    • Sie autorisieren die verwaltete Identität zum Zugriff auf einen oder mehrere Dienste.
    • Der Name des systemseitig zugewiesenen Dienstprinzipals ist immer mit dem Namen der Azure-Ressource identisch, für die er erstellt wird. Bei einem Bereitstellungsslot lautet der Name der systemseitig zugewiesenen Identität <app-name>/slots/<slot-name>.
  • Benutzerseitig zugewiesen: Sie können auch eine verwaltete Identität als eigenständige Azure-Ressource erstellen. Sie können eine benutzerseitig zugewiesene verwaltete Identität erstellen und sie einer oder mehreren Azure-Ressourcen zuweisen. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität aktivieren, geschieht Folgendes:

    • Ein Dienstprinzipal eines speziellen Typs wird in Microsoft Entra ID für die Identität erstellt. Der Dienstprinzipal wird getrennt von den Ressourcen verwaltet, die ihn verwenden.
    • Benutzerseitig zugewiesene Identitäten können für mehrere Ressourcen verwendet werden.
    • Sie autorisieren die verwaltete Identität zum Zugriff auf einen oder mehrere Dienste.

Die nachstehende Tabelle verdeutlicht die Unterschiede zwischen den zwei Arten von verwalteten Identitäten:

Eigenschaft Systemseitig zugewiesene verwaltete Identität Benutzerseitig zugewiesene verwaltete Identität
Erstellung Als Teil einer Azure-Ressource (z. B. Azure Virtual Machines oder Azure App Service). Als eigenständige Azure-Ressource.
Lebenszyklus Gemeinsamer Lebenszyklus mit der Azure-Ressource, für die die verwaltete Identität erstellt wurde.
Wenn die übergeordnete Ressource gelöscht wird, wird auch die verwaltete Identität gelöscht.
Unabhängiger Lebenszyklus.
Muss explizit gelöscht werden.
Gemeinsame Nutzung durch mehrere Azure-Ressourcen Kann nicht freigegeben werden.
Kann nur einer einzelnen Azure-Ressource zugeordnet werden.
Gemeinsame Nutzung möglich.
Die gleiche benutzerseitig zugewiesene verwaltete Identität kann mehreren Azure-Ressourcen zugeordnet werden.
Gängige Anwendungsfälle Workloads innerhalb einer einzelnen Azure-Ressource.
Workloads, die unabhängige Identitäten benötigen.
Beispiel: Eine Anwendung, die auf einer einzelnen VM ausgeführt wird.
Workloads, die auf mehrere Ressourcen ausgeführt werden und eine einzelne Identität gemeinsam nutzen können.
Workloads, die im Rahmen eines Bereitstellungsablaufs vorab für eine sichere Ressource autorisiert werden müssen.
Workloads, bei denen Ressourcen häufig recycelt werden, die Berechtigungen aber konsistent bleiben sollen.
Beispielsweise ein Workload, bei dem mehrere virtuelle Computer auf die gleiche Ressource zugreifen müssen.

Wie kann ich verwaltete Identitäten für Azure-Ressourcen verwenden?

Sie können verwaltete Identitäten verwenden, indem Sie die folgenden Schritte ausführen:

  1. Erstellen einer verwalteten Identität in Azure. Sie können zwischen der vom System zugewiesenen verwalteten Identität oder der vom Benutzer zugewiesenen verwalteten Identität wählen.
    1. Bei Verwendung einer vom Benutzer zugewiesenen verwalteten Identität weisen Sie die verwaltete Identität der „Quell“-Azure-Ressource zu, z. B. einer VM, Azure-Logik-App oder Azure-Web-App.
  2. Autorisieren Sie die verwaltete Identität, um Zugriff auf den Zieldienst zu haben.
  3. Verwenden Sie die verwaltete Identität, um auf eine Ressource zuzugreifen. In diesem Schritt können Sie das Azure-SDK mit der Azure-Identitätsbibliothek verwenden. Einige „Quell“-Ressourcen" bieten Connectors, die wissen, wie verwaltete Identitäten für die Verbindungen verwendet werden. In diesem Fall verwenden Sie die Identität als Feature dieser „Quell“-Ressource.

Welche Azure-Dienste unterstützen das Feature?

Verwaltete Identitäten für Azure-Ressourcen können zum Authentifizieren bei Diensten verwendet werden, die die Microsoft Entra-Authentifizierung unterstützen. Eine Liste der verwalteten Identitäten finden Sie unter Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen.

Welche Vorgänge kann ich für verwaltete Identitäten ausführen?

Ressourcen, die systemseitig zugewiesene verwaltete Identitäten unterstützen, ermöglichen Folgendes:

Falls Sie stattdessen eine benutzerseitig zugewiesene verwaltete Identität verwenden möchten:

Vorgänge für verwaltete Identitäten können mithilfe einer Azure Resource Manager-Vorlage, über das Azure-Portal, die Azure CLI, PowerShell und REST-APIs ausgeführt werden.

Nächste Schritte