Freigeben über


Wichtige Überlegungen und Einschränkungen Anmeldeinformationen für Verbundidentitäten

In diesem Artikel werden wichtige Überlegungen, Einschränkungen und Begrenzungen für Anmeldeinformationen von Verbundidentitäten in Microsoft Entra-Apps und für benutzerseitig zugewiesene verwaltete Identitäten beschrieben.

Weitere Informationen zu den Szenarien, die durch Anmeldeinformationen für Verbundidentitäten ermöglicht werden, finden Sie unter Übersicht über den Workloadidentitätsverbund.

Allgemeine Überlegungen zu Anmeldeinformationen für Verbundidentitäten

Gilt für: Anwendungen und benutzerseitig zugewiesene verwaltete Identitäten

Jeder Benutzer mit Berechtigungen zum Erstellen einer App-Registrierung und zum Hinzufügen eines Geheimnisses oder Zertifikats kann einer App Anmeldeinformationen für eine Verbundidentität hinzufügen. Wenn allerdings im Microsoft Entra Admin Center auf dem Blatt Benutzer>Benutzereinstellungen die Option Benutzer können Anwendungen registrieren auf Nein festgelegt ist, können Sie keine App-Registrierung erstellen und keine Anmeldeinformationen für eine Verbundidentität konfigurieren. Finden Sie einen Administrator, der die Anmeldeinformationen für eine Verbundidentität in Ihrem Namen konfigurieren kann, d. h. eine Person mit der Rolle „Anwendungsadministrator“ oder „Anwendungsbesitzer“.

Anmeldeinformationen von Verbundidentitäten werden nicht auf das Kontingent für Dienstprinzipalobjekte des Microsoft Entra-Mandanten angerechnet.

Einer Anwendung oder einer benutzerseitig zugewiesenen verwalteten Identität können bis zu 20 Anmeldeinformationen für eine Verbundidentität hinzugefügt werden.

Beim Konfigurieren von Anmeldeinformationen für eine Verbundidentität müssen mehrere wichtige Informationen angegeben werden:

  • issuer und subject sind die wichtigsten Informationen, die zum Einrichten der Vertrauensstellung erforderlich sind. Die Kombination von issuer und subject muss für die App eindeutig sein. Wenn die externe Softwareworkload Microsoft Identity Platform zum Austausch des externen Tokens gegen ein Zugriffstoken auffordert, werden die Werte von issuer und subject der Anmeldeinformationen für die Verbundidentität anhand der Ansprüche issuer und subject überprüft, die im externen Token bereitgestellt werden. Wenn diese Überprüfung erfolgreich ist, stellt Microsoft Identity Platform ein Zugriffstoken für die externe Softwareworkload aus.

  • issuer ist die URL des externen Identitätsanbieters und muss mit dem Anspruch issuer des ausgetauschten externen Tokens übereinstimmen. Erforderlich. Wenn der issuer-Anspruch führende oder nachfolgende Leerzeichen im Wert enthält, wird der Tokenaustausch blockiert. Für dieses Feld gilt eine Zeichenbeschränkung von 600 Zeichen.

  • subject ist der Bezeichner der externen Softwareworkload und muss mit dem Anspruch subsubject des ausgetauschten externen Tokens übereinstimmen. subject hat kein festes Format, da jeder IdP sein eigenes verwendet – manchmal eine GUID, manchmal einen durch Doppelpunkt getrennten Bezeichner, manchmal beliebige Zeichenfolgen. Für dieses Feld gilt eine Zeichenbeschränkung von 600 Zeichen.

    Wichtig

    Die Werte für die Einstellung subject müssen exakt mit der Konfiguration in der GitHub-Workflowkonfiguration übereinstimmen. Andernfalls lehnt Microsoft Identity Platform den Austausch für ein Zugriffstoken ab, nachdem das eingehende externe Token überprüft wurde. Es wird kein Fehler angezeigt, der Austausch schlägt ohne Fehlermeldung fehl.

    Wichtig

    Wenn Sie versehentlich die falschen externen Workloadinformationen in der Einstellung subject hinzufügen, werden die Anmeldeinformationen für die Verbundidentität ohne Fehler erfolgreich erstellt. Der Fehler wird erst angezeigt, wenn der Tokenaustausch fehlschlägt.

  • audiences listet die Zielgruppen auf, die im externen Token angezeigt werden können. Erforderlich. Sie müssen einen einzelnen Zielgruppenwert hinzufügen, der maximal 600 Zeichen lang sein darf. Der empfohlene Wert lautet „api://AzureADTokenExchange“. Es gibt an, was Microsoft Identity Platform im Anspruch aud im eingehenden Token akzeptieren muss.

  • name ist der eindeutige Bezeichner für die Anmeldeinformationen für eine Verbundidentität. Erforderlich. Das Feld kann 3–120 Zeichen enthalten und muss URLs akzeptieren können. Alphanumerische Zeichen, Bindestriche und Unterstriche werden unterstützt, aber das erste Zeichen muss alphanumerisch sein.  Nach der Erstellung ist das Feld unveränderlich.

  • description ist die vom Benutzer bereitgestellte Beschreibung der Anmeldeinformationen für eine Verbundidentität. Optional. Die Beschreibung wird von Microsoft Entra ID weder überprüft noch validiert. Dieses Feld darf maximal 600 Zeichen enthalten.

Platzhalterzeichen werden in keinem Eigenschaftswert für Anmeldeinformationen für Verbundidentitäten unterstützt.

Nicht unterstützte Regionen (benutzerseitig zugewiesene verwaltete Identitäten)

Gilt für: Benutzerseitig zugewiesene verwaltete Identitäten

Die Erstellung von Anmeldeinformationen für Verbundidentitäten wird derzeit für von Benutzern zugewiesene verwaltete Identitäten nicht unterstützt, die in den folgenden Regionen erstellt wurden:

  • Asien, Osten
  • Israel, Mitte
  • Italien, Norden
  • Malaysia, Süden
  • Mexiko, Mitte
  • Katar, Mitte
  • Spanien, Mitte

Die Unterstützung für das Erstellen von Anmeldedaten für Verbundidentitäten für von Benutzern zugewiesene Identitäten in diesen Regionen wird schrittweise ausgerollt. Ressourcen in dieser Region, die Anmeldedaten für Verbundidentitäten verwenden müssen, können dies tun, indem sie eine von einem Benutzer zugewiesene verwaltete Identität nutzen, die in einer unterstützten Region erstellt wurde.

Unterstützte Signaturalgorithmen und Aussteller

Gilt für: Anwendungen und benutzerseitig zugewiesene verwaltete Identitäten

Für den Tokenaustausch unter Verwendung des Workloadidentitätsverbunds werden nur Aussteller unterstützt, die mit dem RS256-Algorithmus signierte Token bereitstellen. Der Austausch von Token, die mit anderen Algorithmen signiert wurden, funktioniert gegebenenfalls, wurde aber nicht getestet.

Microsoft Entra-Zertifikataussteller werden nicht unterstützt.

Gilt für: Anwendungen und benutzerseitig zugewiesene verwaltete Identitäten

Das Erstellen eines Verbunds zwischen zwei Microsoft Entra-Identitäten aus demselben oder verschiedenen Mandanten wird nicht unterstützt. Bei der Erstellung von Anmeldeinformationen für eine Verbundidentität wird eine Konfiguration des Ausstellers (URL des externen Identitätsanbieters) mit den folgenden Werten nicht unterstützt:

  • *.login.microsoftonline.com
  • *.login.windows.net
  • *.login.microsoft.com
  • *.sts.windows.net

Es ist zwar möglich, Anmeldeinformationen für Verbundidentitäten mit einem Microsoft Entra-Aussteller zu erstellen, aber der Versuch, diese Anmeldeinformationen für die Autorisierung zu verwenden, schlagen mit dem Fehler AADSTS700222: AAD-issued tokens may not be used for federated identity flows fehl.

Zeit zur Weitergabe von Änderungen an Anmeldeinformationen für Verbundidentitäten

Gilt für: Anwendungen und benutzerseitig zugewiesene verwaltete Identitäten

Es dauert eine gewisse Zeit, bis die Anmeldeinformationen für Verbundidentitäten nach ihrer erstmaligen Konfiguration in der gesamten Region weitergegeben werden. Eine Tokenanforderung, die einige Minuten nach dem Konfigurieren der Anmeldeinformationen für Verbundidentitäten gesendet wird, kann möglicherweise nicht erfolgreich ausgeführt werden, da der Cache im Verzeichnis mit alten Daten aufgefüllt wird. Während dieses Zeitfensters schlägt eine Autorisierungsanforderung möglicherweise mit der folgenden Fehlermeldung fehl: AADSTS70021: No matching federated identity record found for presented assertion.

Um dieses Problem zu vermeiden, warten Sie nach dem Hinzufügen der Anmeldeinformationen für eine Verbundidentität eine gewisse Zeit ab, bevor Sie ein Token anfordern. Auf diese Weise wird sichergestellt, dass die Replikation für alle Knoten des Autorisierungsdiensts abgeschlossen wurde. Außerdem wird empfohlen, eine Wiederholungslogik für Tokenanforderungen hinzuzufügen. Wiederholungsversuche sollten für jede Anforderung ausgeführt werden, selbst wenn ein Token erfolgreich abgerufen wurde. Nachdem die Daten vollständig repliziert wurden, sinkt der Prozentsatz an Fehlern.

Keine Unterstützung für parallele Aktualisierungen (benutzerseitig zugewiesene verwaltete Identitäten)

Gilt für: Benutzerseitig zugewiesene verwaltete Identitäten

Die gleichzeitige Erstellung verschiedener Sätze von Anmeldeinformationen für Verbundidentitäten unter derselben benutzerseitig verwaltete Identität löst eine Logik zur Parallelitätserkennung aus und führt dazu, dass Anforderungen mit dem HTTP-Statuscode 409 aufgrund eines Konflikts fehlschlagen.

In der Version 3.40.0 des Terraform-Anbieters für Azure (Resource Manager) wird ein Update eingeführt, das mehrere Anmeldeinformationen für Verbundidentitäten nacheinander anstatt gleichzeitig erstellt. Versionen vor 3.40.0 können Fehler in Pipelines verursachen, wenn mehrere Verbundidentitäten erstellt werden. Es wird empfohlen, mindestens die Version 3.40.0 des Terraform-Anbieters für Azure (Resource Manager) zu verwenden, damit mehrere Anmeldeinformationen für Verbundidentitäten nacheinander erstellt werden.

Wenn Sie Automatisierungs- oder ARM-Vorlagen (Azure Resource Manager) verwenden, um Anmeldeinformationen für Verbundidentitäten unter derselben übergeordneten Identität zu erstellen, erstellen Sie die Anmeldeinformationen für Verbundidentitäten nacheinander. Anmeldeinformationen für Verbundidentitäten, die für verschiedene verwaltete Identitäten gelten, können ohne Einschränkungen parallel erstellt werden.

Wenn Anmeldeinformationen für Verbundidentitäten in einer Schleife bereitgestellt werden, können Sie sie nacheinander bereitstellen, indem Sie Folgendes festlegen: "mode": "serial".

Sie können auch die Eigenschaft dependsOn verwenden, um mehrere neue Anmeldeinformationen für Verbundidentitäten nacheinander bereitzustellen. Im folgenden Beispiel für eine Azure Resource Manager-Vorlage (ARM-Vorlage) werden nacheinander drei Sätze neuer Anmeldeinformationen für Verbundidentitäten für eine benutzerseitig zugewiesene verwaltete Identität erstellt, indem die Eigenschaft dependsOn verwendet wird:

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "userAssignedIdentities_parent_uami_name": { 
            "defaultValue": "parent_uami", 
            "type": "String" 
        } 
    }, 
    "variables": {}, 
    "resources": [ 
        { 
            "type": "Microsoft.ManagedIdentity/userAssignedIdentities", 
            "apiVersion": "2022-01-31-preview", 
            "name": "[parameters('userAssignedIdentities_parent_uami_name')]", 
            "location": "eastus" 
        }, 
        { 
            "type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials", 
            "apiVersion": "2022-01-31-preview", 
            "name": "[concat(parameters('userAssignedIdentities_parent_uami_name'), '/fic01')]", 
            "dependsOn": [ 
                "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentities_parent_uami_name'))]" 
            ], 
            "properties": { 
                "issuer": "https://kubernetes-oauth.azure.com", 
                "subject": "fic01", 
                "audiences": [ 
                    "api://AzureADTokenExchange" 
                ] 
            } 
        }, 
        { 
            "type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials", 
            "apiVersion": "2022-01-31-preview", 
            "name": "[concat(parameters('userAssignedIdentities_parent_uami_name'), '/fic02')]", 
            "dependsOn": [ 
                "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentities_parent_uami_name'))]", 
                "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials', parameters('userAssignedIdentities_parent_uami_name'), 'fic01')]" 
            ], 
            "properties": { 
                "issuer": "https://kubernetes-oauth.azure.com", 
                "subject": "fic02", 
                "audiences": [ 
                    "api://AzureADTokenExchange" 
                ] 
            } 
        }, 
        { 
            "type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials", 
            "apiVersion": "2022-01-31-preview", 
            "name": "[concat(parameters('userAssignedIdentities_parent_uami_name'), '/fic03')]", 
            "dependsOn": [ 
                "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentities_parent_uami_name'))]", 
                "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials', parameters('userAssignedIdentities_parent_uami_name'), 'fic02')]" 
            ], 
            "properties": { 
                "issuer": "https://kubernetes-oauth.azure.com", 
                "subject": "fic03", 
                "audiences": [ 
                    "api://AzureADTokenExchange" 
                ] 
            } 
        } 
    ] 
} 

Azure-Richtlinie

Gilt für: Anwendungen und benutzerseitig zugewiesene verwaltete Identitäten

Es ist möglich, über Azure Policy eine Ablehnungsrichtlinie wie im folgenden ARM-Vorlagenbeispiel zu verwenden:

{ 
"policyRule": { 
            "if": { 
                "field": "type", 
                "equals": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials" 
            }, 
            "then": { 
                "effect": "deny" 
            } 
        } 
}

Drosselungslimits

Gilt für: Benutzerseitig zugewiesene verwaltete Identitäten

Die folgende Tabelle beschreibt die Beschränkungen für Anforderungen an die REST-APIs für benutzerseitig zugewiesene verwaltete Identitäten. Wenn Sie ein Drosselungslimit überschreiten, erhalten Sie einen HTTP 429-Fehler.

Vorgang Anforderungen pro Sekunde pro Microsoft Entra Mandanten Anforderungen pro Sekunde und Abonnement Anforderungen pro Sekunde und Ressource
Anforderungen zum Erstellen oder Aktualisieren 10 2 0,25
Anforderungen zum Abrufen 30 10 0.5
Anforderungen zum Auflisten nach Ressourcengruppe oder Auflisten nach Abonnement 15 5 0,25
Anforderungen zum Löschen 10 2 0,25

Errors

Gilt für: Anwendungen und benutzerseitig zugewiesene verwaltete Identitäten

Die folgenden Fehlercodes können beim Erstellen, Aktualisieren, Abrufen, Auflisten oder Löschen von Anmeldeinformationen für Verbundidentitäten zurückgegeben werden.

HTTP-Code Fehlermeldung Kommentare
405 Unerwartetes Anforderungsformat: Die Unterstützung für Anmeldeinformationen für Verbundidentitäten ist nicht aktiviert. Anmeldeinformationen für Verbundidentitäten sind in dieser Region nicht aktiviert. Siehe „Derzeit unterstützte Regionen“.
400 Für Anmeldeinformationen für Verbundidentitäten muss genau eine Zielgruppe vorhanden sein. Derzeit unterstützen Anmeldeinformationen für Verbundidentitäten nur eine einzige Zielgruppe: api://AzureADTokenExchange.
400 Die Anmeldeinformationen für Verbundidentitäten aus dem HTTP-Text enthalten leere Eigenschaften. Alle Eigenschaften der Anmeldeinformationen für Verbundidentitäten sind obligatorisch.
400 Der Name „{ficName}“ der Anmeldeinformationen für Verbundidentitäten ist ungültig. Alphanumerisch, Bindestriche, Unterstriche, nicht mehr als 3–120 Zeichen. Das erste Zeichen muss alphanumerisch sein.
404 Die übergeordnete benutzerseitig zugewiesene Identität ist nicht vorhanden. Überprüfen Sie den Namen der benutzerseitig zugewiesenen Identität im Ressourcenpfad der Anmeldeinformationen für Verbundidentitäten.
400 Die Kombination aus Aussteller und Antragsteller ist für diese verwaltete Identität bereits vorhanden. Dies ist eine Einschränkung. Listen Sie alle Anmeldeinformationen für Verbundidentitäten auf, die der benutzerseitig zugewiesenen Identität zugeordnet sind, um vorhandene Anmeldeinformationen für Verbundidentitäten zu finden.
409 Konflikt: Eine gleichzeitige Schreibanforderung an Ressourcen für Anmeldeinformationen für Verbundidentitäten unter derselben benutzerseitig zugewiesenen Identität wurde abgelehnt.