Authentifizieren des Zugriffs auf Azure-Ressourcen mithilfe verwalteter Identitäten in Azure Logic AppsAuthenticate access to Azure resources by using managed identities in Azure Logic Apps

Zum Zugreifen auf die Ressourcen in anderen Azure Active Directory-Mandanten (Azure AD) und Authentifizieren Ihrer Identität ohne Anmeldung können Sie in Ihrer Logik-App die systemseitig zugewiesene verwaltete Identität (früher als verwaltete Dienstidentität (Managed Service Identity, MSI) bezeichnet) anstelle von Anmeldeinformationen oder Geheimnissen verwenden.To access the resources in other Azure Active Directory (Azure AD) tenants and authenticate your identity without signing in, your logic app can use the system-assigned managed identity (formerly known as Managed Service Identity or MSI), rather than credentials or secrets. Azure verwaltet diese Identität für Sie und dient als Hilfe beim Schützen Ihrer Anmeldeinformationen, da Sie keine Geheimnisse angeben oder eine Rotation dafür durchführen müssen.Azure manages this identity for you and helps secure your credentials because you don't have to provide or rotate secrets. In diesem Artikel wird beschrieben, wie Sie die systemseitig zugewiesene verwaltete Identität in der Logik-App einrichten und verwenden.This article shows how to set up and use the system-assigned managed identity in your logic app. Derzeit funktionieren verwaltete Identitäten nur mit spezifischen integrierten Triggern und Aktionen, nicht aber mit verwalteten Connectors oder Verbindungen.Currently, managed identities work only with specific built-in triggers and actions, not managed connectors or connections.

Weitere Informationen finden Sie in den folgenden Themen:For more information, see these topics:

VoraussetzungenPrerequisites

Aktivieren systemseitig zugewiesener IdentitätenEnable system-assigned identity

Im Unterschied zu benutzerseitig zugewiesenen Identitäten müssen Sie systemseitig zugewiesene Identitäten nicht manuell erstellen.Unlike user-assigned identities, you don't have to manually create the system-assigned identity. Zum Einrichten einer systemseitig zugewiesenen Identität der Logik-App stehen folgende Optionen zur Verfügung:To set up your logic app's system-assigned identity, here are the options that you can use:

Aktivieren der systemseitig zugewiesenen Identität im Azure-PortalEnable system-assigned identity in Azure portal

  1. Öffnen Sie Ihre Logik-App im Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in Logic App Designer.

  2. Wählen Sie im Menü der Logik-App unter Einstellungen die Optionen Identität > Vom System zugewiesen aus.On the logic app menu, under Settings, select Identity > System assigned. Wählen Sie unter Status die Optionen Ein > Speichern > Ja aus.Under Status, select On > Save > Yes.

    Aktivieren der systemseitig zugewiesenen Identität

    In der Logik-App kann nun die systemseitig zugewiesene Identität verwendet werden, die bei Azure Active Directory registriert ist und durch eine Objekt-ID angegeben wird.Your logic app can now use the system-assigned identity, which is registered with Azure Active Directory and is represented by an object ID.

    Objekt-ID für die systemseitig zugewiesene Identität

    EigenschaftProperty WertValue BESCHREIBUNGDescription
    Objekt-IDObject ID <Identität-Ressourcen-ID><identity-resource-ID> Eine GUID (Globally Unique Identifier), die die systemseitig zugewiesene Identität für die Logik-App in Ihrem Azure AD-Mandanten angibtA Globally Unique Identifier (GUID) that represents the system-assigned identity for your logic app in your Azure AD tenant
  3. Führen Sie dann die Schritte für das Gewähren des Zugriffs der Identität auf die Ressource aus.Now follow the steps that give the identity access to the resource.

Aktivieren der systemseitig zugewiesenen Identität in einer Azure Resource Manager-VorlageEnable system-assigned identity in Azure Resource Manager template

Sie können Azure Resource Manager-Vorlagen verwenden, um das Erstellen und Bereitstellen von Azure-Ressourcen wie Logik-Apps zu automatisieren.To automate creating and deploying Azure resources such as logic apps, you can use Azure Resource Manager templates. Um die systemseitig zugewiesene verwaltete Identität für die Logik-App in der Vorlage zu aktivieren, fügen Sie das identity-Objekt und die untergeordnete type-Eigenschaft in der Ressourcendefinition der Logik-App in der Vorlage hinzu, beispielsweise:To enable the system-assigned managed identity for your logic app in the template, add the identity object and the type child property to the logic app's resource definition in the template, for example:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {
      "definition": {
         "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
         "actions": {},
         "parameters": {},
         "triggers": {},
         "contentVersion": "1.0.0.0",
         "outputs": {}
   },
   "parameters": {},
   "dependsOn": []
}

Wenn die Ressourcendefinition der Logik-App in Azure erstellt wird, erhält das identity-Objekt diese zusätzlichen Eigenschaften:When Azure creates your logic app resource definition, the identity object gets these additional properties:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Eigenschaft (JSON)Property (JSON) WertValue BESCHREIBUNGDescription
principalId <principal-ID><principal-ID> Die GUID (Globally Unique Identifier) des Dienstprinzipalobjekts für die verwaltete Identität, die die Logik-App im Azure AD-Mandanten angibt.The Globally Unique Identifier (GUID) of the service principal object for the managed identity that represents your logic app in the Azure AD tenant. Diese GUID wird manchmal als „Objekt-ID“ oder objectID angezeigt.This GUID sometimes appears as an "object ID" or objectID.
tenantId <Azure-AD-tenant-ID><Azure-AD-tenant-ID> Die GUID (Globally Unique Identifier), die den Azure AD-Mandanten angibt, in dem die Logik-App nun Mitglied ist.The Globally Unique Identifier (GUID) that represents the Azure AD tenant where the logic app is now a member. Unter dem Azure AD-Mandanten hat der Dienstprinzipal den gleichen Namen wie die Logik-App-Instanz.Inside the Azure AD tenant, the service principal has the same name as the logic app instance.

Zuweisen des Zugriffs der Identität auf RessourcenGive identity access to resources

Nachdem Sie eine verwaltete Identität für die Logik-App eingerichtet haben, können Sie dieser Identität Zugriff auf andere Azure-Ressourcen gewähren.After you set up a managed identity for your logic app, you can give that identity access to other Azure resources. Anschließend können Sie diese Identität für die Authentifizierung verwenden.You can then use that identity for authentication.

  1. Navigieren Sie im Azure-Portal zu der Azure-Ressource, auf die die verwaltete Identität Zugriff erhalten soll.In the Azure portal, go to the Azure resource where you want your managed identity to have access.

  2. Wählen Sie im Menü der Ressource Zugriffssteuerung (IAM) > Rollenzuweisungen aus. Dort können Sie die aktuellen Rollenzuweisungen für die Ressource überprüfen.From the resource's menu, select Access control (IAM) > Role assignments where you can review the current role assignments for that resource. Wählen Sie auf der Symbolleiste die Option Hinzufügen > Rollenzuweisung hinzufügen aus.On the toolbar, select Add > Add role assignment.

    Auswählen von „Hinzufügen“ > „Rollenzuweisung hinzufügen“

    Tipp

    Wenn die Option Rollenzuweisung hinzufügen deaktiviert ist, verfügen Sie wahrscheinlich nicht über die erforderlichen Berechtigungen.If the Add role assignment option is disabled, you most likely don't have permissions. Weitere Informationen zu den Berechtigungen, mit denen Sie Rollen für Ressourcen verwalten können, finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.For more information about the permissions that let you manage roles for resources, see Administrator role permissions in Azure Active Directory.

  3. Wählen Sie unter Rollenzuweisung hinzufügen eine Rolle aus, mit der die Identität die erforderlichen Zugriffsberechtigungen für die Zielressource erhält.Under Add role assignment, select a Role that gives your identity the necessary access to the target resource.

    Für dieses Beispiel benötigt die Identität eine Rolle, über die auf das Blob in einem Azure Storage-Container zugegriffen werden kann:For this topic's example, your identity needs a role that can access the blob in an Azure Storage container:

    Auswählen der Rolle „Mitwirkender an Storage-Blobdaten“

  4. Wählen Sie im Feld Zugriff zuweisen zu die Option Azure AD-Benutzer, -Gruppe oder -Dienstprinzipal aus.In the Assign access to box, select Azure AD user, group, or service principal.

    Auswählen des Zugriffs für die systemseitig zugewiesene Identität

  5. Suchen Sie im Feld Auswählen nach Ihrer Logik-App, und wählen Sie sie aus.In the Select box, find and select your logic app.

    Auswählen der Logik-App für die systemseitig zugewiesene Identität

  6. Klicken Sie auf Speichern, wenn Sie fertig sind.When you're done, select Save.

    In der Liste der Rollenzuweisungen der Zielressource werden nun die ausgewählte verwaltete Identität und die ausgewählte Rolle angezeigt.The target resource's role assignments list now shows the selected managed identity and role.

    Zur Zielressource hinzugefügte verwaltete Identitäten und Rollen

  7. Führen Sie nun die Schritte zum Authentifizieren des Zugriffs mit der Identität in einem Trigger oder einer Aktion aus, die verwaltete Identitäten unterstützen.Now follow the steps to authenticate access with the identity in a trigger or action that supports managed identities.

Authentifizieren des Zugriffs mit der verwalteten IdentitätAuthenticate access with managed identity

Nachdem Sie die verwaltete Identität für die Logik-App aktiviert und dieser Identität Zugriff auf die Zielressource oder Zielentität gewährt haben, können Sie diese Identität in Triggern und Aktionen verwenden, die verwaltete Identitäten unterstützen.After you enable the managed identity for your logic app and give that identity access to the target resource or entity, you can use that identity in triggers and actions that support managed identities.

Wichtig

Für eine Azure-Funktion, für die die systemseitig zugewiesene Identität verwendet werden soll, müssen Sie zunächst die Authentifizierung für Azure-Funktionen aktivieren.If you have an Azure function where you want to use the system-assigned identity, first enable authentication for Azure functions.

Die folgenden Schritte veranschaulichen, wie Sie die verwaltete Identität über das Azure-Portal mit einem Trigger oder einer Aktion verwenden.These steps show how to use the managed identity with a trigger or action through the Azure portal. Informationen zum Angeben der verwalteten Identität in der zugrunde liegenden JSON-Definition eines Triggers oder einer Aktion finden Sie unter Authentifizierung der verwalteten Identität.To specify the managed identity in a trigger or action's underlying JSON definition, see Managed identity authentication.

  1. Öffnen Sie Ihre Logik-App über das Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in the Logic App Designer.

  2. Wenn dies noch nicht erfolgt ist, fügen Sie den Trigger oder die Aktion hinzu, der bzw. die verwaltete Identitäten unterstützt.If you haven't done so yet, add the trigger or action that supports managed identities.

    Beispielsweise kann die für die Logik-App aktivierte systemseitig zugewiesene Identität mit dem HTTP-Trigger oder der HTTP-Aktion verwendet werden.For example, the HTTP trigger or action can use the system-assigned identity that you enabled for your logic app. Im Allgemeinen werden im HTTP-Trigger oder der HTTP-Aktion die folgenden Eigenschaften verwendet, um die Ressource oder Entität anzugeben, auf die Sie zugreifen möchten:In general, the HTTP trigger or action uses these properties to specify the resource or entity that you want to access:

    EigenschaftProperty ErforderlichRequired BESCHREIBUNGDescription
    MethodeMethod JaYes Die HTTP-Methode, die in dem Vorgang verwendet wird, den Sie ausführen möchten.The HTTP method that's used by the operation that you want to run
    URIURI JaYes Die Endpunkt-URL für den Zugriff auf die Azure-Zielressource oder Azure-Zielentität.The endpoint URL for accessing the target Azure resource or entity. Die URI-Syntax enthält normalerweise die Ressourcen-ID für die Azure-Ressource oder den Azure-Dienst.The URI syntax usually includes the resource ID for the Azure resource or service.
    HeaderHeaders NeinNo Alle Headerwerte, die Sie in der ausgehenden Anforderung einfügen müssen oder möchten, z. B. den InhaltstypAny header values that you need or want to include in the outgoing request, such as the content type
    AbfragenQueries NeinNo Alle Abfrageparameter, die Sie in der Anforderung einfügen müssen oder möchten, z. B. den Parameter für einen bestimmten Vorgang oder die API-Version für den auszuführenden VorgangAny query parameters that you need or want to include in the request, such as the parameter for a specific operation or the API version for the operation that you want to run
    AuthentifizierungAuthentication JaYes Der Authentifizierungstyp, der zum Authentifizieren des Zugriffs auf die Zielressource oder Zielentität verwendet wird.The authentication type to use for authenticating access to the target resource or entity

    Als konkretes Beispiel wird angenommen, dass Sie den Snapshot Blob-Vorgang für ein Blob in dem Azure Storage-Konto ausführen möchten, in dem Sie zuvor den Zugriff für die Identität eingerichtet haben.As a specific example, suppose that you want to run the Snapshot Blob operation on a blob in the Azure Storage account where you previously set up access for your identity. Jedoch unterstützt der Azure Blob Storage-Connector diesen Vorgang derzeit nicht.However, the Azure Blob Storage connector doesn't currently offer this operation. Stattdessen können Sie diesen Vorgang mithilfe der HTTP-Aktion oder mit einem anderen REST-API-Vorgang des Blob-Diensts ausführen.Instead, you can run this operation by using the HTTP action or another Blob Service REST API operation.

    Wichtig

    Um über HTTP-Anforderungen und verwaltete Identitäten auf Azure Storage-Konten hinter Firewalls zuzugreifen, müssen Sie sicherstellen, dass Sie auch das Speicherkonto mit der Ausnahme einrichten, die den Zugriff durch vertrauenswürdige Microsoft-Dienste zulässt.To access Azure storage accounts behind firewalls by using HTTP requests and managed identities, make sure that you also set up your storage account with the exception that allows access by trusted Microsoft services.

    Zum Ausführen des Snapshot Blob-Vorgangs werden in der HTTP-Aktion die folgenden Eigenschaften angegeben:To run the Snapshot Blob operation, the HTTP action specifies these properties:

    EigenschaftProperty ErforderlichRequired BeispielwertExample value BESCHREIBUNGDescription
    MethodeMethod JaYes PUT Die im Snapshot Blob-Vorgang verwendete HTTP-MethodeThe HTTP method that the Snapshot Blob operation uses
    URIURI JaYes https://{storage-account-name}.blob.core.windows.net/{blob-container-name}/{folder-name-if-any}/{blob-file-name-with-extension} Die Ressourcen-ID für eine Azure Blob Storage-Datei in der globalen (öffentlichen) Azure-Umgebung, in der diese Syntax verwendet wird.The resource ID for an Azure Blob Storage file in the Azure Global (public) environment, which uses this syntax
    HeaderHeaders Ja, für Azure StorageYes, for Azure Storage x-ms-blob-type = BlockBlob

    x-ms-version = 2019-02-02

    Die Headerwerte x-ms-blob-type und x-ms-version, die für Azure Storage-Vorgänge erforderlich sind.The x-ms-blob-type and x-ms-version header values that are required for Azure Storage operations.

    Wichtig: In ausgehenden Anforderungen für HTTP-Trigger und HTTP-Aktionen für Azure Storage sind für den Header die x-ms-version-Eigenschaft und die API-Version für den auszuführenden Vorgang erforderlich.Important: In outgoing HTTP trigger and action requests for Azure Storage, the header requires the x-ms-version property and the API version for the operation that you want to run.

    Weitere Informationen finden Sie in den folgenden Themen:For more information, see these topics:

    - Anforderungsheader: Snapshot Blob- Request headers - Snapshot Blob
    - Versionsverwaltung für Azure Storage-Dienste- Versioning for Azure Storage services

    AbfragenQueries Ja, für diesen VorgangYes, for this operation comp = snapshot Der Name und der Wert des Abfrageparameters für den Snapshot Blob-VorgangThe query parameter name and value for the Snapshot Blob operation.
    AuthentifizierungAuthentication JaYes Managed Identity Der Authentifizierungstyp, der zum Authentifizieren des Zugriffs auf das Azure-Blob verwendet wirdThe authentication type to use for authenticating access to the Azure blob

    HTTP-Beispielaktion, in der alle diese Eigenschaftswerte angezeigt werden:Here is the example HTTP action that shows all these property values:

    Hinzufügen einer HTTP-Aktion zum Zugreifen auf eine Azure-Ressource

    Weitere Informationen zu allen verfügbaren Azure REST-API-Vorgängen finden Sie in der Azure REST-API-Referenz.For more information about all the available Azure REST API operations, see the Azure REST API Reference.

  3. Wählen Sie in der Liste Authentifizierung den Eintrag Verwaltete Identität aus.From the Authentication list, select Managed Identity. Wenn die Authentication-Eigenschaft unterstützt wird, aber ausgeblendet ist, öffnen Sie die Liste Neuen Parameter hinzufügen, und wählen Sie Authentication aus.If the Authentication property is supported but hidden, open the Add new parameter list, and select Authentication.

    Hinweis

    Sie können nicht für alle Trigger und Aktionen einen Authentifizierungstyp auswählen.Not all triggers and actions let you select an authentication type. Weitere Informationen finden Sie unter Hinzufügen der Authentifizierung zu ausgehenden Aufrufen.For more information, see Add authentication to outbound calls.

    Auswählen von „Verwaltete Identität“ in der Authentication-Eigenschaft

  4. Nachdem Sie Verwaltete Identität ausgewählt haben, wird die Audience-Eigenschaft für einige Trigger und Aktionen angezeigt.After you select Managed Identity, the Audience property appears for some triggers and actions. Wenn die Audience-Eigenschaft unterstützt wird, aber ausgeblendet ist, öffnen Sie die Liste Neuen Parameter hinzufügen, und wählen Sie Audience aus.If the Audience property is supported but hidden, open the Add new parameter list, and select Audience.

  5. Stellen Sie sicher, dass Sie den Wert für Audience auf die Ressourcen-ID für die Zielressource oder den Zieldienst festlegen.Make sure that you set the Audience value to the resource ID for the target resource or service. Andernfalls wird für die Audience-Eigenschaft standardmäßig die Ressourcen-ID https://management.azure.com/ verwendet, bei der es sich um die Ressourcen-ID für Azure Resource Manager handelt.Otherwise, by default, the Audience property uses the https://management.azure.com/ resource ID, which is the resource ID for Azure Resource Manager.

    Wichtig

    Vergewissern Sie sich, dass die Zielressourcen-ID genau dem Wert entspricht, der in Azure Active Directory (AD) erwartet wird, einschließlich aller erforderlichen nachgestellten Schrägstriche.Make sure that the target resource ID exactly matches the value that Azure Active Directory (AD) expects, including any required trailing slashes. Die Ressourcen-ID für alle Azure Blob Storage-Konten erfordert z. B. einen nachgestellten Schrägstrich.For example, the resource ID for all Azure Blob Storage accounts requires a trailing slash. Allerdings erfordert die Ressourcen-ID für ein bestimmtes Speicherkonto keinen nachgestellten Schrägstrich.However, the resource ID for a specific storage account doesn't require a trailing slash. Hier finden Sie die Ressourcen-IDs für die Azure-Dienste, die die Azure AD-Authentifizierung unterstützen.Check the resource IDs for the Azure services that support Azure AD.

    In diesem Beispiel wird die Audience-Eigenschaft auf https://storage.azure.com/ festgelegt, sodass die für die Authentifizierung verwendeten Zugriffstoken für alle Speicherkonten gültig sind.This example sets the Audience property to https://storage.azure.com/ so that the access tokens used for authentication are valid for all storage accounts. Sie können jedoch auch die Stammdienst-URL für ein bestimmtes Speicherkonto angeben, z. B. https://fabrikamstorageaccount.blob.core.windows.net.However, you can also specify the root service URL, https://fabrikamstorageaccount.blob.core.windows.net, for a specific storage account.

    Angeben der Zielressourcen-ID in der Audience-Eigenschaft

    Weitere Informationen zum Autorisieren des Zugriffs mit Azure AD für Azure Storage finden Sie in folgenden Themen:For more information about authorizing access with Azure AD for Azure Storage, see these topics:

Entfernen systemseitig zugewiesener IdentitätenRemove system-assigned identity

Wenn Sie die systemseitig zugewiesene Identität für die Logik-App nicht mehr verwenden möchten, haben Sie folgende Möglichkeiten:To stop using the system-assigned identity for your logic app, you have these options:

Wenn Sie die Logik-App löschen, wird in Azure die verwaltete Identität automatisch aus Azure AD entfernt.If you delete your logic app, Azure automatically removes the managed identity from Azure AD.

Entfernen der systemseitig zugewiesenen Identität im Azure-PortalRemove system-assigned identity in the Azure portal

Entfernen Sie im Azure-Portal die systemseitig zugewiesene Identität aus der Logik-App und den Zugriff dieser Identität aus der Zielressource.In the Azure portal, remove the system-assigned identity from your logic app and that identity's access from your target resource.

Entfernen der systemseitig zugewiesenen Identität aus der Logik-AppRemove system-assigned identity from logic app

  1. Öffnen Sie Ihre Logik-App im Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in Logic App Designer.

  2. Wählen Sie im Menü der Logik-App unter Einstellungen die Optionen Identität > Vom System zugewiesen aus.On the logic app menu, under Settings, select Identity > System assigned. Wählen Sie unter Status die Option Aus > Speichern > Ja aus.Under Status, select Off > Save > Yes.

    Beenden der Verwendung der systemseitig zugewiesenen Identität

Entfernen des Zugriffs der Identität auf RessourcenRemove identity access from resources

  1. Navigieren Sie im Azure-Portal zu der Azure-Zielressource, für die Sie den Zugriff für eine verwaltete Identität entfernen möchten.In the Azure portal, go to the target Azure resource where you want to remove access for a managed identity.

  2. Wählen Sie im Menü der Zielressource die Option Zugriffssteuerung (IAM) aus.From the target resource's menu, select Access control (IAM). Wählen Sie auf der Symbolleiste die Option Rollenzuweisungen aus.Under the toolbar, select Role assignments.

  3. Wählen Sie in der Liste der Rollen die verwalteten Identitäten aus, die Sie entfernen möchten.In the roles list, select the managed identities that you want to remove. Wählen Sie auf der Symbolleiste die Option Entfernen aus.On the toolbar, select Remove.

    Tipp

    Wenn die Option Entfernen deaktiviert ist, verfügen Sie wahrscheinlich nicht über die erforderlichen Berechtigungen.If the Remove option is disabled, you most likely don't have permissions. Weitere Informationen zu den Berechtigungen, mit denen Sie Rollen für Ressourcen verwalten können, finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.For more information about the permissions that let you manage roles for resources, see Administrator role permissions in Azure Active Directory.

Die verwaltete Identität ist damit entfernt und hat keinen Zugriff mehr auf die Zielressource.The managed identity is now removed and no longer has access to the target resource.

Deaktivieren der verwalteten Identität in einer Azure Resource Manager-VorlageDisable managed identity in Azure Resource Manager template

Wenn Sie die systemseitig zugewiesene verwaltete Identität der Logik-App mithilfe einer Azure Resource Manager-Vorlage aktiviert haben, legen Sie die untergeordnete type-Eigenschaft des identity-Objekts auf None fest.If you enabled the logic app's system-managed identity by using an Azure Resource Manager template, set the identity object's type child property to None. Durch diese Aktion wird auch die Prinzipal-ID für die systemseitig zugewiesene verwaltete Identität in Azure AD gelöscht.This action also deletes the principal ID for the system-managed identity from Azure AD.

"identity": {
   "type": "None"
}

Nächste SchritteNext steps