Freigeben über


Verwalten benutzerseitig zugewiesener verwalteter Identitäten für eine Anwendung in Azure Spring Apps

Hinweis

Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.

Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren des Plans „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.

Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise

In diesem Artikel erfahren Sie, wie Sie benutzerseitig zugewiesene verwaltete Identitäten für eine Anwendung in Azure Spring Apps zuweisen und entfernen können. Dazu verwenden Sie das Azure-Portal und die Azure-Befehlszeilenschnittstelle.

Verwaltete Identitäten stellen für Azure-Ressourcen wie Ihre Anwendung in Azure Spring Apps eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.

Voraussetzungen

  • Eine bereits bereitgestellte Azure Spring Apps-Instanz. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen Ihrer ersten Anwendung in Azure Spring Apps.
  • Azure CLI (ab Version 2.45.0)
  • Die Azure Spring Apps-Erweiterung für die Azure CLI unterstützt benutzerseitig zugewiesene verwaltete Identitäten für Apps mit Version 1.0.0 oder höher. Verwenden Sie den folgenden Befehl, um frühere Versionen zu entfernen und die neueste Erweiterung zu installieren:
    az extension remove --name spring
    az extension add --name spring
    
  • Mindestens eine bereits bereitgestellte benutzerseitig zugewiesene verwaltete Identität. Weitere Informationen finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.

Zuweisen von benutzerseitig zugewiesenen verwalteten Identitäten beim Erstellen einer Anwendung

Mit dem folgenden Befehl erstellen Sie eine Anwendung und weisen gleichzeitig eine benutzerseitig zugewiesene verwaltete Identität zu:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Zuweisen von benutzerseitig zugewiesenen verwalteten Identitäten zu einer vorhandenen Anwendung

Zum Zuweisen einer benutzerseitig zugewiesenen verwalteten Identität erfordert das Festlegen einer anderen Eigenschaft für die Anwendung.

Führen Sie die folgenden Schritte aus, um einer vorhandenen Anwendung im Azure-Portal eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen:

  1. Navigieren Sie wie gewohnt zu einer Anwendung im Azure-Portal.
  2. Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
  3. Wählen Sie Identität aus.
  4. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option Hinzufügen aus.
  5. Wählen Sie im rechten Bereich mindestens eine benutzerseitig zugewiesene verwaltete Identitäten und dann Hinzufügen aus.

Abrufen von Tokens für Azure-Ressourcen

Eine Anwendung kann mithilfe ihrer verwalteten Identität Token für den Zugriff auf andere durch Azure AD geschützte Ressourcen wie z. B. Azure Key Vault abrufen. Diese Tokens stellen die Anwendung dar, die auf die Ressource zugreift, keinen bestimmten Benutzer der Anwendung.

Sie müssen möglicherweise die Zielressource möglicherweise für den Zugriff über die Anwendung konfigurieren. Weitere Informationen finden Sie unter Zuweisen eines verwalteten Identitätszugriffs auf eine Azure-Ressource oder eine andere Ressource. Wenn Sie beispielsweise ein Token für den Zugriff auf Key Vault anfordern, müssen Sie sicherstellen, dass Sie eine Zugriffsrichtlinie hinzugefügt haben, die die Identität Ihrer Anwendung enthält. Andernfalls werden Ihre Aufrufe von Key Vault abgelehnt, auch wenn diese das Token enthalten. Informationen zu den Ressourcen, die Microsoft Entra-Tokens unterstützen, finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen

Azure Spring Apps und die Azure-VM nutzen den Endpunkt für den Tokenabruf gemeinsam. Es wird empfohlen, Token mit dem Java SDK oder mit Spring Boot-Startern abzurufen. Verschiedene Code- und Skriptbeispiele sowie Leitfäden zu wichtigen Themen wie der Behandlung von Tokenablauf und HTTP-Fehlern finden Sie unter Verwenden verwalteter Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen von Zugriffstoken.

Entfernen benutzerseitig zugewiesener verwalteter Identitäten aus einer vorhandenen App

Durch das Entfernen von benutzerseitig zugewiesenen verwalteten Identitäten wird die Zuweisung zwischen den Identitäten und der Anwendung entfernt, die Identitäten selbst werden aber nicht gelöscht.

Führen Sie die folgenden Schritte aus, um benutzerseitig zugewiesene verwaltete Identitäten aus einer Anwendung zu entfernen, die sie nicht mehr benötigt:

  1. Melden Sie sich beim Azure-Portal mit einem Konto an, das dem Azure-Abonnement zugeordnet ist, das die Azure Spring Apps-Instanz enthält.
  2. Navigieren Sie zur gewünschten Anwendung, und wählen Sie Identität aus.
  3. Wählen Sie unter Benutzerseitig zugewiesen die Zielidentitäten und dann Entfernen aus.

Einschränkungen

Informationen zu Einschränkungen bei benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Kontingente und Dienstpläne für Azure Spring Apps.

Nächste Schritte