Authentifizieren des Zugriffs auf Azure-Ressourcen mithilfe verwalteter Identitäten in Azure Logic AppsAuthenticate access to Azure resources by using managed identities in Azure Logic Apps

Zum mühelosen Zugreifen auf andere Ressourcen, die von Azure Active Directory (Azure AD) geschützt werden, und Authentifizieren Ihrer Identität ohne Anmeldung kann Ihre Logik-App eine verwaltete Identität (früher als verwaltete Dienstidentität, Managed Service Identity, MSI bezeichnet) anstelle von Anmeldeinformationen oder Geheimnissen verwenden.To easily access other resources that are protected by Azure Active Directory (Azure AD) and authenticate your identity without signing in, your logic app can use a managed identity (formerly Managed Service Identity or MSI), rather than credentials or secrets. Azure verwaltet diese Identität für Sie und dient als Hilfe beim Schützen Ihrer Anmeldeinformationen, da Sie keine Geheimnisse angeben oder eine Rotation dafür durchführen müssen.Azure manages this identity for you and helps secure your credentials because you don't have to provide or rotate secrets.

Azure Logic Apps unterstützt sowohl systemseitig zugewiesene als auch benutzerseitig zugewiesene verwaltete Identitäten.Azure Logic Apps supports both system-assigned and user-assigned managed identities. Ihre Logik-App kann entweder die vom System zugewiesene Identität oder eine einzelne vom Benutzer zugewiesene Identität (die Sie für eine Gruppe von Logik-Apps gemeinsam verwenden können) verwenden, aber nicht beide.Your logic app can use either the system-assigned identity or a single user-assigned identity, which you can share across a group of logic apps, but not both. Derzeit unterstützen nur spezifische integrierte Trigger und Aktionen verwaltete Identitäten, nicht aber verwaltete Connectors oder Verbindungen, z. B.:Currently, only specific built-in triggers and actions support managed identities, not managed connectors or connections, for example:

  • HTTPHTTP
  • Azure-FunktionenAzure Functions
  • Azure API ManagementAzure API Management
  • Azure App ServicesAzure App Services

In diesem Artikel wird gezeigt, wie Sie beide Arten von verwalteten Identitäten für Ihre Logik-App einrichten.This article shows how to set up both kinds of managed identities for your logic app. Weitere Informationen finden Sie in den folgenden Themen:For more information, see these topics:

VoraussetzungenPrerequisites

  • Ein Azure-Konto und ein Azure-Abonnement.An Azure account and subscription. Falls Sie kein Abonnement besitzen, können Sie sich für ein kostenloses Azure-Konto registrieren.If you don't have a subscription, sign up for a free Azure account. Für die verwaltete Identität sowie die Azure-Zielressource, auf die Sie zugreifen möchten, muss dasselbe Azure-Abonnement verwendet werden.Both the managed identity and the target Azure resource where you need access must use the same Azure subscription.

  • Damit eine verwaltete Identität Zugriff auf eine Azure-Ressource erhält, müssen Sie der Zielressource eine Rolle für diese Identität hinzufügen.To give a managed identity access to an Azure resource, you need to add a role to the target resource for that identity. Für das Hinzufügen von Rollen benötigen Sie Azure AD-Administratorberechtigungen, mit denen Rollen verwalteten Identitäten im zugehörigen Azure AD-Mandanten zugewiesen werden können.To add roles, you need Azure AD administrator permissions that can assign roles to identities in the corresponding Azure AD tenant.

  • Die Azure-Zielressource, auf die Sie zugreifen möchten.The target Azure resource that you want to access. Für diese Ressource fügen Sie eine Rolle für die verwaltete Identität hinzu, die der Logik-App hilft, den Zugriff auf die Zielressource zu authentifizieren.On this resource, you'll add a role for the managed identity, which helps the logic app authenticate access to the target resource.

  • Die Logik-App, in der Sie den Trigger oder die Aktionen verwenden möchten, die verwaltete Identitäten unterstützenThe logic app where you want to use the trigger or actions that support managed identities

Aktivieren einer verwalteten IdentitätEnable managed identity

Folgen Sie zum Einrichten der verwalteten Identität, die Sie verwenden möchten, dem Link für diese Identität:To set up the managed identity that you want to use, follow the link for that identity:

Aktivieren systemseitig zugewiesener IdentitätenEnable system-assigned identity

Im Unterschied zu benutzerseitig zugewiesenen Identitäten müssen Sie systemseitig zugewiesene Identitäten nicht manuell erstellen.Unlike user-assigned identities, you don't have to manually create the system-assigned identity. Zum Einrichten der systemseitig zugewiesenen Identität für Ihre Logik-App stehen folgende Optionen zur Verfügung:To set up the system-assigned identity for your logic app, here are the options that you can use:

Aktivieren der systemseitig zugewiesenen Identität im Azure-PortalEnable system-assigned identity in Azure portal

  1. Öffnen Sie Ihre Logik-App im Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in Logic App Designer.

  2. Wählen Sie im Menü der Logik-App unter Einstellungen die Option Identität aus.On the logic app menu, under Settings , select Identity. Wählen Sie Vom System zugewiesen > Ein > Speichern aus.Select System assigned > On > Save. Wenn Sie von Azure zur Bestätigung aufgefordert werden, wählen Sie Ja aus.When Azure prompts you to confirm, select Yes.

    Aktivieren der systemseitig zugewiesenen Identität

    Hinweis

    Wenn Sie eine Fehlermeldung erhalten, dass Sie nur eine einzige verwaltete Identität verwenden können, ist Ihrer Logik-App bereits eine benutzerseitig zugewiesene Identität zugeordnet.If you get an error that you can have only a single managed identity, your logic app is already associated with the user-assigned identity. Bevor Sie die vom System zugewiesene Identität hinzufügen können, müssen Sie zuerst die vom Benutzer zugewiesene Identität aus Ihrer Logik-App entfernen.Before you can add the system-assigned identity, you must first remove the user-assigned identity from your logic app.

    In der Logik-App kann nun die systemseitig zugewiesene Identität verwendet werden, die bei Azure Active Directory registriert ist und durch eine Objekt-ID angegeben wird.Your logic app can now use the system-assigned identity, which is registered with Azure Active Directory and is represented by an object ID.

    Objekt-ID für die systemseitig zugewiesene Identität

    EigenschaftProperty WertValue BESCHREIBUNGDescription
    Objekt-IDObject ID <Identität-Ressourcen-ID><identity-resource-ID> Eine GUID (Globally Unique Identifier), die die systemseitig zugewiesene Identität für Ihre Logik-App in einem Azure AD-Mandanten angibtA Globally Unique Identifier (GUID) that represents the system-assigned identity for your logic app in an Azure AD tenant
  3. Führen Sie nun die Schritte für das Gewähren des Zugriffs der Identität auf die Ressource weiter unten in diesem Thema aus.Now follow the steps that give that identity access to the resource later in this topic.

Aktivieren der systemseitig zugewiesenen Identität in einer Azure Resource Manager-VorlageEnable system-assigned identity in Azure Resource Manager template

Sie können Azure Resource Manager-Vorlagen verwenden, um das Erstellen und Bereitstellen von Azure-Ressourcen wie Logik-Apps zu automatisieren.To automate creating and deploying Azure resources such as logic apps, you can use Azure Resource Manager templates. Um die systemseitig zugewiesene verwaltete Identität für die Logik-App in der Vorlage zu aktivieren, fügen Sie das identity-Objekt und die untergeordnete type-Eigenschaft in der Ressourcendefinition der Logik-App in der Vorlage hinzu, beispielsweise:To enable the system-assigned managed identity for your logic app in the template, add the identity object and the type child property to the logic app's resource definition in the template, for example:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {
      "definition": {
         "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
         "actions": {},
         "parameters": {},
         "triggers": {},
         "contentVersion": "1.0.0.0",
         "outputs": {}
   },
   "parameters": {},
   "dependsOn": []
}

Wenn die Ressourcendefinition der Logik-App in Azure erstellt wird, erhält das identity-Objekt diese zusätzlichen Eigenschaften:When Azure creates your logic app resource definition, the identity object gets these additional properties:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Eigenschaft (JSON)Property (JSON) WertValue BESCHREIBUNGDescription
principalId <principal-ID><principal-ID> Die GUID (Globally Unique Identifier) des Dienstprinzipalobjekts für die verwaltete Identität, die die Logik-App im Azure AD-Mandanten angibt.The Globally Unique Identifier (GUID) of the service principal object for the managed identity that represents your logic app in the Azure AD tenant. Diese GUID wird manchmal als „Objekt-ID“ oder objectID angezeigt.This GUID sometimes appears as an "object ID" or objectID.
tenantId <Azure-AD-tenant-ID><Azure-AD-tenant-ID> Die GUID (Globally Unique Identifier), die den Azure AD-Mandanten angibt, in dem die Logik-App nun Mitglied ist.The Globally Unique Identifier (GUID) that represents the Azure AD tenant where the logic app is now a member. Unter dem Azure AD-Mandanten hat der Dienstprinzipal den gleichen Namen wie die Logik-App-Instanz.Inside the Azure AD tenant, the service principal has the same name as the logic app instance.

Aktivieren einer vom Benutzer zugewiesenen IdentitätEnable user-assigned identity

Um eine vom Benutzer zugewiesene verwaltete Identität für Ihre Logik-App einzurichten, müssen Sie diese Identität zunächst als separate eigenständige Azure-Ressource erstellen.To set up a user-assigned managed identity for your logic app, you must first create that identity as a separate standalone Azure resource. Sie können die folgenden Optionen verwenden:Here are the options that you can use:

Erstellen einer benutzerseitig zugewiesenen Identität im Azure-PortalCreate user-assigned identity in the Azure portal

  1. Geben Sie im Azure-Portal im Suchfeld auf einer beliebigen Seite managed identities ein, und wählen Sie Verwaltete Identitäten aus.In the Azure portal, in the search box on any page, enter managed identities, and select Managed Identities.

    Suchen und Auswählen von „Verwalteten Identitäten“

  2. Wählen Sie unter Verwaltete Identitäten die Option Hinzufügen aus.Under Managed Identities , select Add.

    Hinzufügen einer neuen verwalteten Identität

  3. Geben Sie Informationen zu Ihrer verwalteten Identität an, und wählen Sie dann Überprüfen und erstellen aus, beispielsweise:Provide information about your managed identity, and then select Review + Create , for example:

    Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

    EigenschaftProperty ErforderlichRequired WertValue BESCHREIBUNGDescription
    AbonnementSubscription JaYes <Name des Azure-Abonnements><Azure-subscription-name> Der Name des zu verwendenden Azure-AbonnementsThe name for the Azure subscription to use
    RessourcengruppeResource group JaYes <Name der Azure-Ressourcengruppe><Azure-resource-group-name> Der Name der zu verwendenden Ressourcengruppe.The name for the resource group to use. Erstellen Sie eine neue Gruppe, oder wählen Sie eine vorhandene Gruppe aus.Create a new group, or select an existing group. Dieses Beispiel erstellt eine neue Gruppe namens fabrikam-managed-identities-RG.This example creates a new group named fabrikam-managed-identities-RG.
    RegionRegion JaYes <Azure-Region><Azure-region> Die Azure-Region, in der die Informationen zu Ihrer Ressource gespeichert werden sollen.The Azure region where to store information about your resource. In diesem Beispiel wird „USA, Westen“ verwendet.This example uses "West US".
    NameName JaYes <user-assigned-identity-name><user-assigned-identity-name> Der Name für die benutzerseitig zugewiesene Identität.The name to give your user-assigned identity. In diesem Beispiel wird Fabrikam-user-assigned-identity verwendet.This example uses Fabrikam-user-assigned-identity.

    Nach Überprüfung dieser Informationen erstellt Azure Ihre verwaltete Identität.After validating these details, Azure creates your managed identity. Nun können Sie Ihrer Logik-App die vom Benutzer zugewiesene Identität hinzufügen.Now you can add the user-assigned identity to your logic app. Sie können Ihrer Logik-App maximal eine vom Benutzer zugewiesene Identität hinzufügen.You can't add more than one user-assigned identity to your logic app.

  4. Suchen Sie Ihre Logik-App im Azure-Portal, und öffnen Sie sie im Logik-App-Designer.In the Azure portal, find and open your logic app in Logic App Designer.

  5. Wählen Sie im Menü der Logik-App unter Einstellungen die Option Identität und dann Vom Benutzer zugewiesen > Hinzufügen aus.On the logic app menu, under Settings , select Identity , and then select User assigned > Add.

    Hinzufügen von benutzerseitig zugewiesenen verwalteten Identitäten

  6. Wählen Sie im Bereich Benutzerseitig zugewiesene verwaltete Identität hinzufügen in der Liste Abonnement Ihr Azure-Abonnement aus, sofern es nicht bereits markiert ist.On the Add user assigned managed identity pane, from the Subscription list, select your Azure subscription if not already selected. Suchen Sie in der Liste mit allen verwalteten Identitäten in diesem Abonnement die gewünschte benutzerseitig zugewiesene Identität, und wählen Sie sie aus.From the list that shows all the managed identities in that subscription, find and select the user-assigned identity that you want. Um die Liste zu filtern, geben Sie im Suchfeld Benutzerseitig zugewiesene verwaltete Identitäten den Namen der Identität oder Ressourcengruppe ein.To filter the list, in the User assigned managed identities search box, enter the name for the identity or resource group. Wenn Sie fertig sind, wählen Sie Hinzufügen aus.When you're done, select Add.

    Auswählen der zu verwendenden benutzerseitig zugewiesenen Identität

    Hinweis

    Wenn Sie eine Fehlermeldung erhalten, dass Sie nur eine einzige verwaltete Identität verwenden können, ist Ihrer Logik-App bereits die systemseitig zugewiesene Identität zugeordnet.If you get an error that you can have only a single managed identity, your logic app is already associated with the system-assigned identity. Bevor Sie die vom Benutzer zugewiesene Identität hinzufügen können, müssen Sie zuerst die vom System zugewiesene Identität in Ihrer Logik-App deaktivieren.Before you can add the user-assigned identity, you must first disable the system-assigned identity on your logic app.

    Ihre Logik-App ist jetzt der benutzerseitig zugewiesenen verwalteten Identität zugeordnet.Your logic app is now associated with the user-assigned managed identity.

    Zuordnen einer benutzerseitig zugewiesenen Identität

  7. Führen Sie nun die Schritte für das Gewähren des Zugriffs der Identität auf die Ressource weiter unten in diesem Thema aus.Now follow the steps that give that identity access to the resource later in this topic.

Erstellen einer benutzerseitig zugewiesenen Identität in einer Azure Resource Manager-VorlageCreate user-assigned identity in an Azure Resource Manager template

Sie können Azure Resource Manager-Vorlagen verwenden, die benutzerseitig zugewiesene Identitäten für die Authentifizierung unterstützen, um das Erstellen und Bereitstellen von Azure-Ressourcen wie Logik-Apps zu automatisieren.To automate creating and deploying Azure resources such as logic apps, you can use Azure Resource Manager templates, which support user-assigned identities for authentication. Im Abschnitt resources Ihrer Vorlage sind in der Ressourcendefinition Ihrer Logik-App die folgenden Elemente erforderlich:In your template's resources section, your logic app's resource definition requires these items:

  • Ein identity-Objekt, bei dem die type-Eigenschaft auf UserAssigned festgelegt istAn identity object with the type property set to UserAssigned

  • Ein untergeordnetes userAssignedIdentities-Objekt, das die vom Benutzer zugewiesene Ressource und den Namen angibtA child userAssignedIdentities object that specifies the user-assigned resource and name

Dieses Beispiel zeigt die Ressourcendefinition einer Logik-App für eine HTTP PUT-Anforderung inklusive eines nicht parametrisierten identity-Objekts.This example shows a logic app resource definition for an HTTP PUT request and includes a non-parameterized identity object. Die Antworten auf die PUT-Anforderung und den nachfolgenden GET-Vorgang enthalten ebenfalls dieses identity-Objekt:The response to the PUT request and subsequent GET operation also have this identity object:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Wenn die Vorlage auch die Ressourcendefinition der verwalteten Identität enthält, können Sie das identity-Objekt parametrisieren.If your template also includes the managed identity's resource definition, you can parameterize the identity object. Dieses Beispiel zeigt, wie das untergeordnete userAssignedIdentities-Objekt auf die Variable userAssignedIdentity verweist, die Sie im Abschnitt variables Ihrer Vorlage definieren.This example shows how the child userAssignedIdentities object references a userAssignedIdentity variable that you define in your template's variables section. Diese Variable verweist auf die Ressourcen-ID für Ihre benutzerseitig zugewiesene Identität.This variable references the resource ID for your user-assigned identity.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Zuweisen des Zugriffs der Identität auf RessourcenGive identity access to resources

Bevor Sie die verwaltete Identität Ihrer Logik-App für die Authentifizierung verwenden können, richten Sie den Zugriff dieser Identität auf die Azure-Ressource ein, in der Sie die Identität verwenden möchten.Before you can use your logic app's managed identity for authentication, set up access for that identity on the Azure resource where you plan to use the identity. Für diese Aufgabe muss der Identität in der Azure-Zielressource die entsprechende Rolle zugewiesen werden.To complete this task, assign the appropriate role to that identity on the target Azure resource. Sie können die folgenden Optionen verwenden:Here are the options that you can use:

Zuweisen des Zugriffs im Azure-PortalAssign access in the Azure portal

  1. Navigieren Sie im Azure-Portal zu der Azure-Ressource, auf die die verwaltete Identität Zugriff erhalten soll.In the Azure portal, go to the Azure resource where you want your managed identity to have access.

  2. Wählen Sie im Menü der Ressource Zugriffssteuerung (IAM) > Rollenzuweisungen aus. Dort können Sie die aktuellen Rollenzuweisungen für die Ressource überprüfen.From the resource's menu, select Access control (IAM) > Role assignments where you can review the current role assignments for that resource. Wählen Sie auf der Symbolleiste die Option Hinzufügen > Rollenzuweisung hinzufügen aus.On the toolbar, select Add > Add role assignment.

    Auswählen von „Hinzufügen“ > „Rollenzuweisung hinzufügen“

    Tipp

    Wenn die Option Rollenzuweisung hinzufügen deaktiviert ist, verfügen Sie wahrscheinlich nicht über die erforderlichen Berechtigungen.If the Add role assignment option is disabled, you most likely don't have permissions. Weitere Informationen zu den Berechtigungen, mit denen Sie Rollen für Ressourcen verwalten können, finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.For more information about the permissions that let you manage roles for resources, see Administrator role permissions in Azure Active Directory.

  3. Wählen Sie unter Rollenzuweisung hinzufügen eine Rolle aus, mit der die Identität die erforderlichen Zugriffsberechtigungen für die Zielressource erhält.Under Add role assignment , select a Role that gives your identity the necessary access to the target resource.

    Für das Beispiel in diesem Thema benötigt Ihre Identität eine Rolle, die auf einen Blob in einem Azure Storage-Container zugreifen kann. Wählen Sie daher für die verwaltete Identität die Rolle Mitwirkender an Storage-Blobdaten aus.For this topic's example, your identity needs a role that can access the blob in an Azure Storage container, so select the Storage Blob Data Contributor role for the managed identity.

    Auswählen der Rolle „Mitwirkender an Storage-Blobdaten“

  4. Befolgen Sie diese Schritte für Ihre verwaltete Identität:Follow these steps for your managed identity:

    • Systemseitig zugewiesene IdentitätSystem-assigned identity

      1. Wählen Sie im Feld Zugriff zuweisen zu die Option Logik-App aus.In the Assign access to box, select Logic App. Wenn die Subscription -Eigenschaft angezeigt wird, wählen Sie das Azure-Abonnement aus, das Ihrer Identität zugeordnet ist.When the Subscription property appears, select the Azure subscription that's associated with your identity.

        Auswählen des Zugriffs für die systemseitig zugewiesene Identität

      2. Wählen Sie unter dem Feld Auswählen Ihre Logik-App in der Liste aus.Under the Select box, select your logic app from the list. Wenn die Liste zu lang ist, können Sie sie mit dem Feld Auswählen filtern.If the list is too long, use the Select box to filter the list.

        Auswählen der Logik-App für die systemseitig zugewiesene Identität

    • Benutzerseitig zugewiesene IdentitätUser-assigned identity

      1. Wählen Sie im Feld Zugriff zuweisen zu die Option Benutzerseitig zugewiesene verwaltete Identität aus.In the Assign access to box, select User assigned managed identity. Wenn die Subscription -Eigenschaft angezeigt wird, wählen Sie das Azure-Abonnement aus, das Ihrer Identität zugeordnet ist.When the Subscription property appears, select the Azure subscription that's associated with your identity.

        Auswählen des Zugriffs für die benutzerseitig zugewiesene Identität

      2. Wählen Sie unter dem Feld Auswählen Ihre Identität in der Liste aus.Under the Select box, select your identity from the list. Wenn die Liste zu lang ist, können Sie sie mit dem Feld Auswählen filtern.If the list is too long, use the Select box to filter the list.

        Auswählen Ihrer benutzerseitig zugewiesenen Identität

  5. Klicken Sie auf Speichern , wenn Sie fertig sind.When you're done, select Save.

    In der Liste der Rollenzuweisungen der Zielressource werden nun die ausgewählte verwaltete Identität und die ausgewählte Rolle angezeigt.The target resource's role assignments list now shows the selected managed identity and role. Dieses Beispiel zeigt, wie Sie die vom System zugewiesene Identität für eine Logik-App und eine vom Benutzer zugewiesene Identität für eine Gruppe von anderen Logik-Apps verwenden können.This example shows how you can use the system-assigned identity for one logic app and a user-assigned identity for a group of other logic apps.

    Zur Zielressource hinzugefügte verwaltete Identitäten und Rollen

    Weitere Informationen finden Sie unter Zuweisen des Zugriffs einer verwalteten Identität auf eine Ressource über das Azure-Portal.For more information, Assign a managed identity access to a resource by using the Azure portal.

  6. Führen Sie nun die Schritte zum Authentifizieren des Zugriffs mit der Identität in einem Trigger oder einer Aktion aus, die verwaltete Identitäten unterstützen.Now follow the steps to authenticate access with the identity in a trigger or action that supports managed identities.

Authentifizieren des Zugriffs mit der verwalteten IdentitätAuthenticate access with managed identity

Nachdem Sie die verwaltete Identität für die Logik-App aktiviert und dieser Identität Zugriff auf die Zielressource oder Zielentität gewährt haben, können Sie diese Identität in Triggern und Aktionen verwenden, die verwaltete Identitäten unterstützen.After you enable the managed identity for your logic app and give that identity access to the target resource or entity, you can use that identity in triggers and actions that support managed identities.

Wichtig

Für eine Azure-Funktion, für die die systemseitig zugewiesene Identität verwendet werden soll, müssen Sie zunächst die Authentifizierung für Azure-Funktionen aktivieren.If you have an Azure function where you want to use the system-assigned identity, first enable authentication for Azure functions.

Die folgenden Schritte veranschaulichen, wie Sie die verwaltete Identität über das Azure-Portal mit einem Trigger oder einer Aktion verwenden.These steps show how to use the managed identity with a trigger or action through the Azure portal. Informationen zum Angeben der verwalteten Identität in der zugrunde liegenden JSON-Definition eines Triggers oder einer Aktion finden Sie unter Authentifizierung der verwalteten Identität.To specify the managed identity in a trigger or action's underlying JSON definition, see Managed identity authentication.

  1. Öffnen Sie Ihre Logik-App über das Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in the Logic App Designer.

  2. Wenn dies noch nicht erfolgt ist, fügen Sie den Trigger oder die Aktion hinzu, der bzw. die verwaltete Identitäten unterstützt.If you haven't done so yet, add the trigger or action that supports managed identities.

    Beispielsweise kann die für die Logik-App aktivierte systemseitig zugewiesene Identität mit dem HTTP-Trigger oder der HTTP-Aktion verwendet werden.For example, the HTTP trigger or action can use the system-assigned identity that you enabled for your logic app. Im Allgemeinen werden im HTTP-Trigger oder der HTTP-Aktion die folgenden Eigenschaften verwendet, um die Ressource oder Entität anzugeben, auf die Sie zugreifen möchten:In general, the HTTP trigger or action uses these properties to specify the resource or entity that you want to access:

    EigenschaftProperty ErforderlichRequired BESCHREIBUNGDescription
    MethodeMethod JaYes Die HTTP-Methode, die in dem Vorgang verwendet wird, den Sie ausführen möchten.The HTTP method that's used by the operation that you want to run
    URIURI JaYes Die Endpunkt-URL für den Zugriff auf die Azure-Zielressource oder Azure-Zielentität.The endpoint URL for accessing the target Azure resource or entity. Die URI-Syntax enthält normalerweise die Ressourcen-ID für die Azure-Ressource oder den Azure-Dienst.The URI syntax usually includes the resource ID for the Azure resource or service.
    HeadersHeaders NeinNo Alle Headerwerte, die Sie in der ausgehenden Anforderung einfügen müssen oder möchten, z. B. den InhaltstypAny header values that you need or want to include in the outgoing request, such as the content type
    AbfragenQueries NeinNo Alle Abfrageparameter, die Sie in der Anforderung einfügen müssen oder möchten, z. B. den Parameter für einen bestimmten Vorgang oder die API-Version für den auszuführenden VorgangAny query parameters that you need or want to include in the request, such as the parameter for a specific operation or the API version for the operation that you want to run
    AuthentifizierungAuthentication JaYes Der Authentifizierungstyp, der zum Authentifizieren des Zugriffs auf die Zielressource oder Zielentität verwendet wird.The authentication type to use for authenticating access to the target resource or entity

    Als konkretes Beispiel wird angenommen, dass Sie den Snapshot Blob-Vorgang für ein Blob in dem Azure Storage-Konto ausführen möchten, in dem Sie zuvor den Zugriff für die Identität eingerichtet haben.As a specific example, suppose that you want to run the Snapshot Blob operation on a blob in the Azure Storage account where you previously set up access for your identity. Jedoch unterstützt der Azure Blob Storage-Connector diesen Vorgang derzeit nicht.However, the Azure Blob Storage connector doesn't currently offer this operation. Stattdessen können Sie diesen Vorgang mithilfe der HTTP-Aktion oder mit einem anderen REST-API-Vorgang des Blob-Diensts ausführen.Instead, you can run this operation by using the HTTP action or another Blob Service REST API operation.

    Wichtig

    Um über HTTP-Anforderungen und verwaltete Identitäten auf Azure Storage-Konten hinter Firewalls zuzugreifen, müssen Sie sicherstellen, dass Sie auch das Speicherkonto mit der Ausnahme einrichten, die den Zugriff durch vertrauenswürdige Microsoft-Dienste zulässt.To access Azure storage accounts behind firewalls by using HTTP requests and managed identities, make sure that you also set up your storage account with the exception that allows access by trusted Microsoft services.

    Zum Ausführen des Snapshot Blob-Vorgangs werden in der HTTP-Aktion die folgenden Eigenschaften angegeben:To run the Snapshot Blob operation, the HTTP action specifies these properties:

    EigenschaftProperty ErforderlichRequired BeispielwertExample value BESCHREIBUNGDescription
    MethodeMethod JaYes PUT Die im Snapshot Blob-Vorgang verwendete HTTP-MethodeThe HTTP method that the Snapshot Blob operation uses
    URIURI JaYes https://{storage-account-name}.blob.core.windows.net/{blob-container-name}/{folder-name-if-any}/{blob-file-name-with-extension} Die Ressourcen-ID für eine Azure Blob Storage-Datei in der globalen (öffentlichen) Azure-Umgebung, in der diese Syntax verwendet wird.The resource ID for an Azure Blob Storage file in the Azure Global (public) environment, which uses this syntax
    HeadersHeaders Für Azure StorageFor Azure Storage x-ms-blob-type = BlockBlob

    x-ms-version = 2019-02-02

    x-ms-date = @{formatDateTime(utcNow(),'r'}

    Die Headerwerte x-ms-blob-type, x-ms-version und x-ms-date, die für Azure Storage-Vorgänge erforderlich sind.The x-ms-blob-type, x-ms-version, and x-ms-date header values are required for Azure Storage operations.

    Wichtig : In ausgehenden Anforderungen für HTTP-Trigger und HTTP-Aktionen für Azure Storage sind für den Header die x-ms-version-Eigenschaft und die API-Version für den auszuführenden Vorgang erforderlich.Important : In outgoing HTTP trigger and action requests for Azure Storage, the header requires the x-ms-version property and the API version for the operation that you want to run. x-ms-date muss das aktuelle Datum sein.The x-ms-date must be the current date. Andernfalls tritt bei Ihrer Logik-App ein 403 FORBIDDEN-Fehler auf.Otherwise, your logic app fails with a 403 FORBIDDEN error. Um das aktuelle Datum im erforderlichen Format abzurufen, können Sie den Ausdruck im Beispielwert verwenden.To get the current date in the required format, you can use the expression in the example value.

    Weitere Informationen finden Sie in den folgenden Themen:For more information, see these topics:

    - Anforderungsheader: Snapshot Blob- Request headers - Snapshot Blob
    - Versionsverwaltung für Azure Storage-Dienste- Versioning for Azure Storage services

    AbfragenQueries Nur für den Vorgang für den MomentaufnahmeblobOnly for the Snapshot Blob operation comp = snapshot Der Name und der Wert des Abfrageparameters für den Vorgang.The query parameter name and value for the operation.

    HTTP-Beispielaktion, in der alle diese Eigenschaftswerte angezeigt werden:Here is the example HTTP action that shows all these property values:

    Hinzufügen einer HTTP-Aktion zum Zugreifen auf eine Azure-Ressource

  3. Fügen Sie nun der HTTP-Aktion die Authentication -Eigenschaft hinzu.Now add the Authentication property to the HTTP action. Wählen Sie in der Liste Neuen Parameter hinzufügen die Option Authentifizierung aus.From the Add new parameter list, select Authentication.

    Hinzufügen der Authentication-Eigenschaft zur HTTP-Aktion

    Hinweis

    Sie können nicht für alle Trigger und Aktionen einen Authentifizierungstyp hinzufügen.Not all triggers and actions support letting you add an authentication type. Weitere Informationen finden Sie unter Hinzufügen der Authentifizierung zu ausgehenden Aufrufen.For more information, see Add authentication to outbound calls.

  4. Wählen Sie in der Liste Authentifizierungstyp die Option Verwaltete Identität aus.From the Authentication type list, select Managed Identity.

    Auswählen von „Verwaltete Identität“ für die Authentifizierung

  5. Wählen Sie in der Liste der verwalteten Identitäten einen Eintrag für Ihr Szenario aus.From the managed identity list, select from the available options based on your scenario.

    • Wenn Sie die vom System zugewiesene Identität eingerichtet haben, wählen Sie Systemseitig zugewiesene verwaltete Identität aus, sofern sie nicht bereits ausgewählt ist.If you set up the system-assigned identity, select System Assigned Managed Identity if not already selected.

      Auswählen von „Systemseitig zugewiesene verwaltete Identität“

    • Wenn Sie eine benutzerseitig zugewiesene Identität einrichten, wählen Sie diese Identität aus, sofern sie nicht bereits ausgewählt ist.If you set up a user-assigned identity, select that identity if not already selected.

      Auswählen der benutzerseitig zugewiesenen Identität

    In diesem Beispiel wird weiterhin die Systemseitig zugewiesene verwaltete Identität verwendet.This example continues with the System Assigned Managed Identity.

  6. Bei einigen Triggern und Aktionen wird die Audience -Eigenschaft auch angezeigt, damit Sie die Zielressourcen-ID festlegen können.On some triggers and actions, the Audience property also appears for you to set the target resource ID. Legen Sie den Wert der Audience -Eigenschaft auf die Ressourcen-ID für die Zielressource oder den Zieldienst fest.Set the Audience property to the resource ID for the target resource or service. Andernfalls wird für die Audience -Eigenschaft standardmäßig die Ressourcen-ID https://management.azure.com/ verwendet, bei der es sich um die Ressourcen-ID für Azure Resource Manager handelt.Otherwise, by default, the Audience property uses the https://management.azure.com/ resource ID, which is the resource ID for Azure Resource Manager.

    Wichtig

    Vergewissern Sie sich, dass die Zielressourcen-ID genau dem Wert entspricht , der in Azure Active Directory (AD) erwartet wird, einschließlich aller erforderlichen nachgestellten Schrägstriche.Make sure that the target resource ID exactly matches the value that Azure Active Directory (AD) expects, including any required trailing slashes. Die Ressourcen-ID für alle Azure Blob Storage-Konten erfordert z. B. einen nachgestellten Schrägstrich.For example, the resource ID for all Azure Blob Storage accounts requires a trailing slash. Allerdings erfordert die Ressourcen-ID für ein bestimmtes Speicherkonto keinen nachgestellten Schrägstrich.However, the resource ID for a specific storage account doesn't require a trailing slash. Hier finden Sie die Ressourcen-IDs für die Azure-Dienste, die die Azure AD-Authentifizierung unterstützen.Check the resource IDs for the Azure services that support Azure AD.

    In diesem Beispiel wird die Audience -Eigenschaft auf https://storage.azure.com/ festgelegt, sodass die für die Authentifizierung verwendeten Zugriffstoken für alle Speicherkonten gültig sind.This example sets the Audience property to https://storage.azure.com/ so that the access tokens used for authentication are valid for all storage accounts. Sie können jedoch auch die Stammdienst-URL für ein bestimmtes Speicherkonto angeben, z. B. https://fabrikamstorageaccount.blob.core.windows.net.However, you can also specify the root service URL, https://fabrikamstorageaccount.blob.core.windows.net, for a specific storage account.

    Festlegen der Zielressourcen-ID in der Audience-Eigenschaft

    Weitere Informationen zum Autorisieren des Zugriffs mit Azure AD für Azure Storage finden Sie in folgenden Themen:For more information about authorizing access with Azure AD for Azure Storage, see these topics:

  7. Fahren Sie damit fort, die Logik-App wie gewünscht zu erstellen.Continue building the logic app the way that you want.

Deaktivieren von verwalteten IdentitätenDisable managed identity

Wenn Sie die verwaltete Identität für die Logik-App nicht mehr verwenden möchten, haben Sie folgende Möglichkeiten:To stop using a managed identity for your logic app, you have these options:

Wenn Sie die Logik-App löschen, wird in Azure die verwaltete Identität automatisch aus Azure AD entfernt.If you delete your logic app, Azure automatically removes the managed identity from Azure AD.

Deaktivieren der verwalteten Identität im Azure-PortalDisable managed identity in the Azure portal

Heben Sie im Azure-Portal zunächst den Zugriff der Identität auf die Zielressource auf.In the Azure portal, first remove the identity's access to your target resource. Deaktivieren Sie als Nächstes die vom System zugewiesene Identität, oder entfernen Sie die vom Benutzer zugewiesene Identität aus Ihrer Logik-App.Next, turn off the system-assigned identity or remove the user-assigned identity from your logic app.

Entfernen des Zugriffs der Identität auf RessourcenRemove identity access from resources

  1. Navigieren Sie im Azure-Portal zu der Azure-Zielressource, für die Sie den Zugriff für die verwaltete Identität aufheben möchten.In the Azure portal, go to the target Azure resource where you want to remove access for the managed identity.

  2. Wählen Sie im Menü der Zielressource die Option Zugriffssteuerung (IAM) aus.From the target resource's menu, select Access control (IAM). Wählen Sie auf der Symbolleiste die Option Rollenzuweisungen aus.Under the toolbar, select Role assignments.

  3. Wählen Sie in der Liste der Rollen die verwalteten Identitäten aus, die Sie entfernen möchten.In the roles list, select the managed identities that you want to remove. Wählen Sie auf der Symbolleiste die Option Entfernen aus.On the toolbar, select Remove.

    Tipp

    Wenn die Option Entfernen deaktiviert ist, verfügen Sie wahrscheinlich nicht über die erforderlichen Berechtigungen.If the Remove option is disabled, you most likely don't have permissions. Weitere Informationen zu den Berechtigungen, mit denen Sie Rollen für Ressourcen verwalten können, finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.For more information about the permissions that let you manage roles for resources, see Administrator role permissions in Azure Active Directory.

Die verwaltete Identität ist damit entfernt und hat keinen Zugriff mehr auf die Zielressource.The managed identity is now removed and no longer has access to the target resource.

Deaktivieren einer verwalteten Identität für die Logik-AppDisable managed identity on logic app

  1. Öffnen Sie Ihre Logik-App im Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in Logic App Designer.

  2. Wählen Sie im Menü der Logik-App unter Einstellungen die Option Identität aus, und befolgen Sie dann die Schritte für Ihre Identität:On the logic app menu, under Settings , select Identity , and then follow the steps for your identity:

    • Wählen Sie Vom System zugewiesen > Ein > Speichern aus.Select System assigned > On > Save. Wenn Sie von Azure zur Bestätigung aufgefordert werden, wählen Sie Ja aus.When Azure prompts you to confirm, select Yes.

      Deaktivieren der systemseitig zugewiesenen Identität

    • Wählen Sie Vom Benutzer zugewiesen , die verwaltete Identität und dann Entfernen aus.Select User assigned and the managed identity, and then select Remove. Wenn Sie von Azure zur Bestätigung aufgefordert werden, wählen Sie Ja aus.When Azure prompts you to confirm, select Yes.

      Entfernen der benutzerseitig zugewiesenen Identität

Die verwaltete Identität ist nun in Ihrer Logik-App deaktiviert.The managed identity is now disabled on your logic app.

Deaktivieren der verwalteten Identität in einer Azure Resource Manager-VorlageDisable managed identity in Azure Resource Manager template

Wenn Sie die verwaltete Identität der Logik-App mithilfe einer Azure Resource Manager-Vorlage erstellt haben, legen Sie die untergeordnete type-Eigenschaft des identity-Objekts auf None fest.If you created the logic app's managed identity by using an Azure Resource Manager template, set the identity object's type child property to None.

"identity": {
   "type": "None"
}

Nächste SchritteNext steps