Aktivieren der systemseitig zugewiesenen verwalteten Identität für eine Anwendung in Azure Spring Apps
Hinweis
Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.
Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren des Plans „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.
Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise
In diesem Artikel erfahren Sie, wie Sie systemseitig zugewiesene verwaltete Identitäten für eine Anwendung in Azure Spring Apps über das Azure-Portal und die CLI aktivieren und deaktivieren können.
Verwaltete Identitäten stellen für Azure-Ressourcen wie Ihre Anwendung in Azure Spring Apps eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.
Voraussetzungen
Wenn Sie mit verwalteten Identitäten für Azure-Ressourcen noch nicht vertraut sind, lesen Sie Was sind verwaltete Identitäten für Azure-Ressourcen?
- Eine bereits bereitgestellte Azure Spring Apps Enterprise-Planinstanz. Weitere Informationen finden Sie unter Schnellstart: Erstellen und Bereitstellen von Anwendungen in Azure Spring Apps mit dem Enterprise Plan.
- Azure CLI (ab Version 2.45.0)
- Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren:
az extension remove --name spring az extension add --name spring
- Eine bereits bereitgestellte Azure Spring Apps-Instanz. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen Ihrer ersten Anwendung in Azure Spring Apps.
- Azure CLI (ab Version 2.45.0)
- Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren:
az extension remove --name spring az extension add --name spring
Hinzufügen einer systemseitig zugewiesenen Identität
Für die Erstellung einer App mit einer systemseitig zugewiesenen Identität muss eine andere Eigenschaft für die Anwendung festgelegt werden.
Erstellen Sie zuerst eine Anwendung, und aktivieren Sie dann das Feature, um eine verwaltete Entität im Portal einzurichten.
- Erstellen Sie wie gewohnt eine App im Portal. Navigieren Sie im Portal zu dieser App.
- Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
- Wählen Sie Identität aus.
- Ändern Sie auf der Registerkarte Systemseitig zugewiesen den Status in Ein. Wählen Sie Speichern.
Abrufen von Tokens für Azure-Ressourcen
Eine App kann mithilfe ihrer verwalteten Identität Token für den Zugriff auf andere durch Microsoft Entra ID geschützte Ressourcen wie z. B. Azure Key Vault abrufen. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.
Sie müssen möglicherweise die Zielressource möglicherweise für den Zugriff über die Anwendung konfigurieren. Weitere Informationen finden Sie unter Zuweisen eines verwalteten Identitätszugriffs auf eine Azure-Ressource oder eine andere Ressource. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie sicherstellen, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe von Key Vault abgelehnt, auch wenn diese das Token enthalten. Weitere Informationen dazu, welche Ressourcen Microsoft Entra-Token unterstützen, finden Sie unter Azure-Dienste, die verwaltete Identitäten verwenden können, um auf andere Dienste zuzugreifen.
Azure Spring Apps und Azure Virtual Machine nutzen denselben Endpunkt für den Tokenabruf. Es wird empfohlen, Token mithilfe des das Java SDK oder von Spring Boot Startern abzurufen. Verschiedene Code- und Skriptbeispiele sowie Leitfäden zu wichtigen Themen wie der Behandlung von Tokenablauf und HTTP-Fehlern finden Sie unter Verwenden verwalteter Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen von Zugriffstoken.
Deaktivieren einer vom System zugewiesenen Identität in einer App
Beim Entfernen einer systemseitig zugewiesenen Identität wird diese auch aus Microsoft Entra ID gelöscht. Systemseitig zugewiesene Identitäten werden automatisch aus Microsoft Entra ID entfernt, wenn die App-Ressource gelöscht wird.
Für eine App, für die eine vom System zugewiesene verwaltete Identität nicht mehr benötigt wird, können Sie den folgenden Befehl zum Entfernen der Identität verwenden:
- Melden Sie sich beim Portal mit einem Konto an, das dem Azure-Abonnement zugeordnet ist, das die Azure Spring Apps-Instanz enthält.
- Navigieren Sie zur gewünschten Anwendung, und wählen Sie Identität aus.
- Wählen Sie unter Vom System zugewiesen/Status die Option Aus und dann Speichern aus:
Abrufen der Client-ID aus der Objekt-ID (Prinzipal-ID)
Verwenden Sie den folgenden Befehl, um die Client-ID aus dem Wert für die Objekt-ID bzw. Prinzipal-ID abzurufen:
az ad sp show --id <object-ID> --query appId