Verwenden verwalteter Identitäten für Anwendungen in Azure Spring Apps

Hinweis

Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von 3 Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.

Der Standardverbrauchs- und dedizierte Plan wird ab dem 30. September 2024 als veraltet gekennzeichnet und nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren vom Standardverbrauchs- und dedizierten Plan von Azure Spring Apps zu Azure Container Apps.

Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise

In diesem Artikel wird gezeigt, wie Sie systemseitig und benutzerseitig zugewiesene verwaltete Identitäten für Anwendungen in Azure Spring Apps verwenden.

Verwaltete Identitäten stellen für Azure-Ressourcen wie Ihre Anwendung in Azure Spring Apps eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.

Featurestatus

Systemseitig zugewiesen Benutzerseitig zugewiesen
Allgemein verfügbar Allgemein verfügbar

Verwalten der verwalteten Identität für eine Anwendung

Informationen zu systemseitig zugewiesenen verwalteten Identitäten finden Sie unter Aktivieren und Deaktivieren systemseitig zugewiesener verwalteter Identitäten.

Informationen zu benutzerseitig zugewiesenen verwalteten Identitäten finden Sie unter Aktivieren und Deaktivieren benutzerseitig zugewiesener verwalteter Identitäten.

Abrufen von Tokens für Azure-Ressourcen

Eine Anwendung kann mithilfe ihrer verwalteten Identität Token für den Zugriff auf andere durch Azure AD geschützte Ressourcen wie z. B. Azure Key Vault abrufen. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.

Sie können die Zielressource für den Zugriff über die Anwendung konfigurieren. Weitere Informationen finden Sie unter Zuweisen eines verwalteten Identitätszugriffs auf eine Azure-Ressource oder eine andere Ressource. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie sicherstellen, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe von Key Vault abgelehnt, auch wenn diese das Token enthalten. Informationen zu den Ressourcen, die Microsoft Entra-Tokens unterstützen, finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen.

Azure Spring Apps und die Azure-VM nutzen den Endpunkt für den Tokenabruf gemeinsam. Es wird empfohlen, Token mit dem Java SDK oder mit Spring Boot-Startern abzurufen. Verschiedene Code- und Skriptbeispiele sowie Leitfäden zu wichtigen Themen wie der Behandlung von Tokenablauf und HTTP-Fehlern finden Sie unter Verwenden verwalteter Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen von Zugriffstoken.

Beispiele für das Verbinden von Azure-Diensten im Anwendungscode

Die folgende Tabelle enthält Links zu Artikeln mit Beispielen:

Azure-Dienst Tutorial
Schlüsseltresor Tutorial: Verwenden einer verwalteten Identität, um eine Verbindung zwischen Key Vault und einer Azure Spring Apps-App herzustellen
Azure-Funktionen Tutorial: Verwenden einer verwalteten Identität zum Aufrufen von Azure Functions über eine Azure Spring Apps-App
Azure SQL Verwenden einer verwalteten Identität zum Herstellen einer Verbindung zwischen Azure SQL-Datenbank und der Azure Spring Apps-App

Bewährte Methoden bei der Verwendung verwalteter Identitäten

Es wird dringend empfohlen, systemseitig zugewiesene und benutzerseitig zugewiesene verwaltete Identitäten separat zu verwenden, es sei denn, Ihr Anwendungsfall erfordert dies unbedingt. Wenn Sie beide Typen verwalteter Identitäten zusammen verwenden, kann ein Fehler auftreten, wenn eine Anwendung die systemseitig zugewiesene verwaltete Identität verwendet und das Token abruft, ohne die Client-ID dieser Identität anzugeben. Dieses Szenario kann gut funktionieren, bis dieser Anwendung eine oder mehrere benutzerseitig zugewiesene verwaltete Identitäten zugewiesen werden, da die Anwendung danach möglicherweise nicht mehr das richtige Token abrufen kann.

Begrenzungen

Maximale Anzahl von benutzerseitig zugewiesenen verwalteten Identitäten pro Anwendung

Die maximale Anzahl von benutzerseitig zugewiesenen verwalteten Identitäten pro Anwendung finden Sie unter Kontingente und Diensttarife für Azure Spring Apps.


Konzeptzuordnung

Die folgende Tabelle zeigt die Zuordnungen zwischen Konzepten im Bereich verwalteter Identitäten und im Microsoft Entra-Bereich:

Bereich verwalteter Identitäten Microsoft Entra-Bereich
Prinzipal-ID ObjectID
Client-ID Anwendungs-ID

Nächste Schritte