Aktivieren der systemseitig zugewiesenen verwalteten Identität für eine Anwendung in Azure Spring Apps

  • Artikel

Hinweis

Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.

Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise

In diesem Artikel erfahren Sie, wie Sie systemseitig zugewiesene verwaltete Identitäten für eine Anwendung in Azure Spring Apps über das Azure-Portal und die CLI aktivieren und deaktivieren können.

Verwaltete Identitäten stellen für Azure-Ressourcen wie Ihre Anwendung in Azure Spring Apps eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.

Voraussetzungen

Wenn Sie mit verwalteten Identitäten für Azure-Ressourcen noch nicht vertraut sind, lesen Sie Was sind verwaltete Identitäten für Azure-Ressourcen?

  • Eine bereits bereitgestellte Azure Spring Apps Enterprise-Planinstanz. Weitere Informationen finden Sie unter Schnellstart: Erstellen und Bereitstellen von Anwendungen in Azure Spring Apps mit dem Enterprise Plan.
  • Azure CLI (ab Version 2.45.0)
  • Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren: 
    az extension remove --name spring
az extension add --name spring
  • Eine bereits bereitgestellte Azure Spring Apps-Instanz. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen Ihrer ersten Anwendung in Azure Spring Apps.
  • Azure CLI (ab Version 2.45.0)
  • Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren: 
    az extension remove --name spring
az extension add --name spring

Hinzufügen einer systemseitig zugewiesenen Identität

Für die Erstellung einer App mit einer systemseitig zugewiesenen Identität muss eine andere Eigenschaft für die Anwendung festgelegt werden.

Erstellen Sie zuerst eine Anwendung, und aktivieren Sie dann das Feature, um eine verwaltete Entität im Portal einzurichten.

  1. Erstellen Sie wie gewohnt eine App im Portal. Navigieren Sie im Portal zu dieser App.
  2. Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
  3. Wählen Sie Identität aus.
  4. Ändern Sie auf der Registerkarte Systemseitig zugewiesen den Status in Ein. Wählen Sie Speichern.

Screenshot des Azure-Portals mit dem Identitätsbildschirm für eine Anwendung.

Abrufen von Tokens für Azure-Ressourcen

Eine App kann mithilfe ihrer verwalteten Identität Token für den Zugriff auf andere durch Microsoft Entra ID geschützte Ressourcen wie z. B. Azure Key Vault abrufen. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.

Sie müssen möglicherweise die Zielressource möglicherweise für den Zugriff über die Anwendung konfigurieren. Weitere Informationen finden Sie unter Zuweisen eines verwalteten Identitätszugriffs auf eine Azure-Ressource oder eine andere Ressource. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie sicherstellen, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe von Key Vault abgelehnt, auch wenn diese das Token enthalten. Weitere Informationen dazu, welche Ressourcen Microsoft Entra-Token unterstützen, finden Sie unter Azure-Dienste, die verwaltete Identitäten verwenden können, um auf andere Dienste zuzugreifen.

Azure Spring Apps und Azure Virtual Machine nutzen denselben Endpunkt für den Tokenabruf. Es wird empfohlen, Token mithilfe des das Java SDK oder von Spring Boot Startern abzurufen. Verschiedene Code- und Skriptbeispiele sowie Leitfäden zu wichtigen Themen wie der Behandlung von Tokenablauf und HTTP-Fehlern finden Sie unter Verwenden verwalteter Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen von Zugriffstoken.

Deaktivieren einer vom System zugewiesenen Identität in einer App

Beim Entfernen einer systemseitig zugewiesenen Identität wird diese auch aus Microsoft Entra ID gelöscht. Systemseitig zugewiesene Identitäten werden automatisch aus Microsoft Entra ID entfernt, wenn die App-Ressource gelöscht wird.

Für eine App, für die eine vom System zugewiesene verwaltete Identität nicht mehr benötigt wird, können Sie den folgenden Befehl zum Entfernen der Identität verwenden:

  1. Melden Sie sich beim Portal mit einem Konto an, das dem Azure-Abonnement zugeordnet ist, das die Azure Spring Apps-Instanz enthält.
  2. Navigieren Sie zur gewünschten Anwendung, und wählen Sie Identität aus.
  3. Wählen Sie unter Vom System zugewiesen/Status die Option Aus und dann Speichern aus:

Screenshot des Azure-Portals mit dem Identitätsbildschirm für eine Anwendung mit auf „Aus“ festgelegtem Schalter „Status“.

Abrufen der Client-ID aus der Objekt-ID (Prinzipal-ID)

Verwenden Sie den folgenden Befehl, um die Client-ID aus dem Wert für die Objekt-ID bzw. Prinzipal-ID abzurufen:

az ad sp show --id <object-ID> --query appId

Nächste Schritte