Freigeben über

Verwaltete Identitäten

  • Artikel

GILT FÜR: Azure Database for PostgreSQL – Flexibler Server

Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten.

Während Entwickler die Geheimnisse in Azure Key Vault sicher speichern können, benötigen Dienste eine Möglichkeit zum Zugriff auf Azure Key Vault. Verwaltete Identitäten bieten eine automatisch verwaltete Identität in Microsoft Entra ID, die Anwendungen verwenden können, wenn sie sich mit Ressourcen verbinden, die die Microsoft Entra-Authentifizierung unterstützen. Anwendungen können mithilfe verwalteter Identitäten Microsoft Entra-Token abrufen, ohne Anmeldeinformationen verwalten zu müssen.

Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:

  • Sie brauchen keine Anmeldedaten zu verwalten. Nicht einmal Sie haben Zugriff auf die Anmeldeinformationen.
  • Sie können verwaltete Identitäten zur Authentifizierung bei einer beliebigen Ressource verwenden, die die Microsoft Entra-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
  • Verwaltete Identitäten können ohne zusätzliche Kosten genutzt werden.

Typen von verwalteten Identitäten, die in Azure verfügbar sind

Es gibt zwei Arten von verwalteten Identitäten:

  • Systemseitig zugewiesen: Einige Azure-Ressourcen wie Azure Database for PostgreSQL – flexibler Server ermöglichen Ihnen, eine verwaltete Identität direkt für die Ressource zu aktivieren. Diese werden als systemseitig zugewiesene verwaltete Identitäten bezeichnet. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, gilt Folgendes:

    • Ein Dienstprinzipal eines speziellen Typs wird in Microsoft Entra ID für die Identität erstellt. Der Dienstprinzipal ist an den Lebenszyklus dieser Azure-Ressource gebunden. Wenn die Azure-Ressource gelöscht wird, löscht Azure automatisch den Dienstprinzipal für Sie.
    • Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Microsoft Entra ID verwenden.
    • Sie können den Dienstprinzipal, der der verwalteten Identität zugeordnet ist, für den Zugriff auf Dienste autorisieren.
    • Der Name, der dem mit der verwalteten Identität verbundenen Dienstprinzipal zugeordnet ist, entspricht immer dem Namen der Azure-Ressource, für die er erstellt wurde.

  • Benutzerseitig zugewiesen: Einige Azure-Ressourcentypen unterstützen auch die Zuordnung verwalteter Identitäten, die vom Benutzenden als unabhängige Ressourcen erstellt wurden. Der Lebenszyklus dieser Identitäten ist unabhängig vom Lebenszyklus der Ressourcen, denen sie zugewiesen sind. Sie können mehreren Ressourcen zugewiesen werden. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität aktivieren, gilt Folgendes:

    • Ein Dienstprinzipal eines speziellen Typs wird in Microsoft Entra ID für die Identität erstellt. Der Dienstprinzipal wird getrennt von den Ressourcen verwaltet, die ihn verwenden.
    • Mehrere Ressourcen können benutzerseitig zugewiesene Identitäten verwenden.
    • Sie autorisieren die verwaltete Identität zum Zugriff auf einen oder mehrere Dienste.

Anwendungsgebiete von verwalteten Identitäten in Azure Database for PostgreSQL – flexibler Server

Systemseitig zugewiesene verwaltete Identitäten werden für eine Instanz von Azure Database for PostgreSQL – flexibler Server verwendet durch:

Benutzerseitig zugewiesene verwaltete Identitäten, die für eine Instanz von Azure Database for PostgreSQL – flexibler Server konfiguriert sind, können für Folgendes verwendet werden:

Zugehöriger Inhalt