Verwalten benutzerseitig zugewiesener verwalteter Identitäten für eine Anwendung in Azure Spring Apps
Hinweis
Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.
Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise
In diesem Artikel erfahren Sie, wie Sie benutzerseitig zugewiesene verwaltete Identitäten für eine Anwendung in Azure Spring Apps zuweisen und entfernen können. Dazu verwenden Sie das Azure-Portal und die Azure-Befehlszeilenschnittstelle.
Verwaltete Identitäten für Azure-Ressourcen stellen eine automatisch verwaltete Identität in Microsoft Entra-ID für eine Azure-Ressource wie Ihre Anwendung in Azure Spring Apps bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.
Voraussetzungen
- Wenn Sie mit verwalteten Identitäten für Azure-Ressourcen nicht vertraut sind, lesen Sie , was sind verwaltete Identitäten für Azure-Ressourcen?
- Eine bereits bereitgestellte Azure Spring Apps Enterprise-Planinstanz. Weitere Informationen finden Sie in der Schnellstartanleitung: Erstellen und Bereitstellen von Apps in Azure Spring Apps mit dem Enterprise-Plan.
- Azure CLI (ab Version 2.45.0)
- Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren:
az extension remove --name spring az extension add --name spring
- Mindestens eine bereits bereitgestellte benutzerseitig zugewiesene verwaltete Identität. Weitere Informationen finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.
- Eine bereits bereitgestellte Azure Spring Apps-Instanz. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen Ihrer ersten Anwendung in Azure Spring Apps.
- Azure CLI (ab Version 2.45.0)
- Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren:
az extension remove --name spring az extension add --name spring
- Mindestens eine bereits bereitgestellte benutzerseitig zugewiesene verwaltete Identität. Weitere Informationen finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.
Zuweisen von benutzerseitig zugewiesenen verwalteten Identitäten beim Erstellen einer Anwendung
Mit dem folgenden Befehl erstellen Sie eine Anwendung und weisen gleichzeitig eine benutzerseitig zugewiesene verwaltete Identität zu:
az spring app create \
--resource-group <resource-group-name> \
--name <app-name> \
--service <service-instance-name> \
--user-assigned <space-separated user identity resource IDs to assign>
Zuweisen von benutzerseitig zugewiesenen verwalteten Identitäten zu einer vorhandenen Anwendung
Zum Zuweisen von vom Benutzer zugewiesener verwalteter Identität muss eine andere Eigenschaft für die Anwendung festgelegt werden.
Führen Sie die folgenden Schritte aus, um einer vorhandenen Anwendung im Azure-Portal eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen:
- Navigieren Sie wie gewohnt zu einer Anwendung im Azure-Portal.
- Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
- Wählen Sie Identität aus.
- Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option Hinzufügen aus.
- Wählen Sie im rechten Bereich mindestens eine benutzerseitig zugewiesene verwaltete Identitäten und dann Hinzufügen aus.
Abrufen von Tokens für Azure-Ressourcen
Eine Anwendung kann ihre verwaltete Identität verwenden, um Token abzurufen, um auf andere Ressourcen zuzugreifen, die durch die Microsoft Entra-ID geschützt sind, z. B. Azure Key Vault. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.
Sie müssen die Zielressource möglicherweise für den Zugriff über die Anwendung konfigurieren. Weitere Informationen finden Sie unter Zuweisen des Zugriffs einer verwalteten Identität auf eine Ressource über das Azure-Portal. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, stellen Sie sicher, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe an Key Vault abgelehnt, auch wenn sie das Token enthalten. Weitere Informationen dazu, welche Ressourcen Microsoft Entra-Token unterstützen, finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen
Azure Spring Apps und die Azure-VM nutzen den Endpunkt für den Tokenabruf gemeinsam. Es wird empfohlen, Token mit dem Java SDK oder mit Spring Boot-Startern abzurufen. Für verschiedene Code- und Skriptbeispiele sowie Anleitungen zu wichtigen Themen wie dem Behandeln von Ablauf- und HTTP-Fehlern von Token finden Sie unter Verwendung von verwalteten Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen eines Zugriffstokens.
Entfernen benutzerseitig zugewiesener verwalteter Identitäten aus einer vorhandenen App
Durch das Entfernen von vom Benutzer zugewiesenen verwalteten Identitäten wird die Zuordnung zwischen den Identitäten und der Anwendung entfernt und die Identitäten selbst nicht gelöscht.
Führen Sie die folgenden Schritte aus, um benutzerseitig zugewiesene verwaltete Identitäten aus einer Anwendung zu entfernen, die sie nicht mehr benötigt:
- Melden Sie sich beim Azure-Portal mit einem Konto an, das dem Azure-Abonnement zugeordnet ist, das die Azure Spring Apps-Instanz enthält.
- Navigieren Sie zur gewünschten Anwendung, und wählen Sie Identität aus.
- Wählen Sie unter Benutzerseitig zugewiesen die Zielidentitäten und dann Entfernen aus.
Einschränkungen
Informationen zu Einschränkungen bei benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Kontingente und Dienstpläne für Azure Spring Apps.