Aktivieren der systemseitig zugewiesenen verwalteten Identität für eine Anwendung in Azure Spring Apps

  • Artikel

Hinweis

Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.

Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise

In diesem Artikel erfahren Sie, wie Sie systemseitig zugewiesene verwaltete Identitäten für eine Anwendung in Azure Spring Apps über das Azure-Portal und die CLI aktivieren und deaktivieren können.

Verwaltete Identitäten für Azure-Ressourcen stellen eine automatisch verwaltete Identität in Microsoft Entra-ID für eine Azure-Ressource wie Ihre Anwendung in Azure Spring Apps bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.

Voraussetzungen

Wenn Sie mit verwalteten Identitäten für Azure-Ressourcen nicht vertraut sind, lesen Sie , was sind verwaltete Identitäten für Azure-Ressourcen?

  • Eine bereits bereitgestellte Azure Spring Apps Enterprise-Planinstanz. Weitere Informationen finden Sie in der Schnellstartanleitung: Erstellen und Bereitstellen von Apps in Azure Spring Apps mit dem Enterprise-Plan.
  • Azure CLI (ab Version 2.45.0)
  • Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren: 
    az extension remove --name spring
az extension add --name spring
  • Eine bereits bereitgestellte Azure Spring Apps-Instanz. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen Ihrer ersten Anwendung in Azure Spring Apps.
  • Azure CLI (ab Version 2.45.0)
  • Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren: 
    az extension remove --name spring
az extension add --name spring

Hinzufügen einer systemseitig zugewiesenen Identität

Zum Erstellen einer App mit einer vom System zugewiesenen Identität muss eine andere Eigenschaft für die Anwendung festgelegt werden.

Erstellen Sie zuerst eine Anwendung, und aktivieren Sie dann das Feature, um eine verwaltete Entität im Portal einzurichten.

  1. Erstellen Sie wie gewohnt eine App im Portal. Navigieren Sie im Portal zu dieser App.
  2. Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
  3. Wählen Sie Identität aus.
  4. Ändern Sie auf der Registerkarte Systemseitig zugewiesen den Status in Ein. Wählen Sie Speichern.

Screenshot of Azure portal showing the Identity screen for an application.

Abrufen von Tokens für Azure-Ressourcen

Eine App kann ihre verwaltete Identität verwenden, um Token abzurufen, um auf andere Ressourcen zuzugreifen, die durch die Microsoft Entra-ID geschützt sind, z. B. Azure Key Vault. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.

Sie müssen die Zielressource möglicherweise für den Zugriff über die Anwendung konfigurieren. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie sicherstellen, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe an Key Vault abgelehnt, auch wenn sie das Token enthalten. Weitere Informationen dazu, welche Ressourcen Microsoft Entra-Token unterstützen, finden Sie unter Azure-Dienste, die verwaltete Identitäten verwenden können, um auf andere Dienste zuzugreifen.

Azure Spring Apps und Azure Virtual Machine nutzen denselben Endpunkt für den Tokenabruf. Es wird empfohlen, Token mithilfe des das Java SDK oder von Spring Boot Startern abzurufen. Verschiedene Code- und Skriptbeispiele sowie Leitfäden zu wichtigen Themen wie der Behandlung von Tokenablauf und HTTP-Fehlern finden Sie unter Verwenden verwalteter Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen von Zugriffstoken.

Deaktivieren einer vom System zugewiesenen Identität in einer App

Durch das Entfernen einer vom System zugewiesenen Identität wird sie auch aus der Microsoft Entra-ID gelöscht. Durch das Löschen der App-Ressource werden automatisch vom System zugewiesene Identitäten aus der Microsoft Entra-ID entfernt.

Führen Sie die folgenden Schritte aus, um vom System zugewiesene verwaltete Identität aus einer App zu entfernen, die sie nicht mehr benötigt:

  1. Melden Sie sich beim Portal mit einem Konto an, das dem Azure-Abonnement zugeordnet ist, das die Azure Spring Apps-Instanz enthält.
  2. Navigieren Sie zur gewünschten Anwendung, und wählen Sie Identität aus.
  3. Wählen Sie unter Vom System zugewiesen/Status die Option Aus und dann Speichern aus:

Screenshot of Azure portal showing the Identity screen for an application, with the Status switch set to Off.

Abrufen der Client-ID aus der Objekt-ID (Prinzipal-ID)

Verwenden Sie den folgenden Befehl, um die Client-ID aus dem Objekt-/Prinzipal-ID-Wert abzurufen:

az ad sp show --id <object-ID> --query appId

Nächste Schritte