Freigeben über

Verwalten benutzerseitig zugewiesener verwalteter Identitäten für eine Anwendung in Azure Spring Apps

  • Artikel

Hinweis

Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.

Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise

In diesem Artikel erfahren Sie, wie Sie benutzerseitig zugewiesene verwaltete Identitäten für eine Anwendung in Azure Spring Apps zuweisen und entfernen können. Dazu verwenden Sie das Azure-Portal und die Azure-Befehlszeilenschnittstelle.

Verwaltete Identitäten für Azure-Ressourcen stellen eine automatisch verwaltete Identität in Microsoft Entra-ID für eine Azure-Ressource wie Ihre Anwendung in Azure Spring Apps bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.

Voraussetzungen

  • Eine bereits bereitgestellte Azure Spring Apps-Instanz. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen Ihrer ersten Anwendung in Azure Spring Apps.
  • Azure CLI (ab Version 2.45.0)
  • Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren: 
    az extension remove --name spring
az extension add --name spring
  • Mindestens eine bereits bereitgestellte benutzerseitig zugewiesene verwaltete Identität. Weitere Informationen finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.

Zuweisen von benutzerseitig zugewiesenen verwalteten Identitäten beim Erstellen einer Anwendung

Mit dem folgenden Befehl erstellen Sie eine Anwendung und weisen gleichzeitig eine benutzerseitig zugewiesene verwaltete Identität zu:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Zuweisen von benutzerseitig zugewiesenen verwalteten Identitäten zu einer vorhandenen Anwendung

Zum Zuweisen von vom Benutzer zugewiesener verwalteter Identität muss eine andere Eigenschaft für die Anwendung festgelegt werden.

Führen Sie die folgenden Schritte aus, um einer vorhandenen Anwendung im Azure-Portal eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen:

  1. Navigieren Sie wie gewohnt zu einer Anwendung im Azure-Portal.
  2. Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
  3. Wählen Sie Identität aus.
  4. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option Hinzufügen aus.
  5. Wählen Sie im rechten Bereich mindestens eine benutzerseitig zugewiesene verwaltete Identitäten und dann Hinzufügen aus.

Abrufen von Tokens für Azure-Ressourcen

Eine Anwendung kann ihre verwaltete Identität verwenden, um Token abzurufen, um auf andere Ressourcen zuzugreifen, die durch die Microsoft Entra-ID geschützt sind, z. B. Azure Key Vault. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.

Sie müssen die Zielressource möglicherweise für den Zugriff über die Anwendung konfigurieren. Weitere Informationen finden Sie unter Zuweisen des Zugriffs einer verwalteten Identität auf eine Ressource über das Azure-Portal. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, stellen Sie sicher, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe an Key Vault abgelehnt, auch wenn sie das Token enthalten. Weitere Informationen dazu, welche Ressourcen Microsoft Entra-Token unterstützen, finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen

Azure Spring Apps und die Azure-VM nutzen den Endpunkt für den Tokenabruf gemeinsam. Es wird empfohlen, Token mit dem Java SDK oder mit Spring Boot-Startern abzurufen. Für verschiedene Code- und Skriptbeispiele sowie Anleitungen zu wichtigen Themen wie dem Behandeln von Ablauf- und HTTP-Fehlern von Token finden Sie unter Verwendung von verwalteten Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen eines Zugriffstokens.

Entfernen benutzerseitig zugewiesener verwalteter Identitäten aus einer vorhandenen App

Durch das Entfernen von vom Benutzer zugewiesenen verwalteten Identitäten wird die Zuordnung zwischen den Identitäten und der Anwendung entfernt und die Identitäten selbst nicht gelöscht.

Führen Sie die folgenden Schritte aus, um benutzerseitig zugewiesene verwaltete Identitäten aus einer Anwendung zu entfernen, die sie nicht mehr benötigt:

  1. Melden Sie sich beim Azure-Portal mit einem Konto an, das dem Azure-Abonnement zugeordnet ist, das die Azure Spring Apps-Instanz enthält.
  2. Navigieren Sie zur gewünschten Anwendung, und wählen Sie Identität aus.
  3. Wählen Sie unter Benutzerseitig zugewiesen die Zielidentitäten und dann Entfernen aus.

Einschränkungen

Informationen zu Einschränkungen bei benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Kontingente und Dienstpläne für Azure Spring Apps.

Nächste Schritte