Authentifizierung bei Key Vault mit verwalteten Identitäten für Azure-Ressourcen

Abgeschlossen

Azure Key Vault verwendet Microsoft Entra ID zum Authentifizieren von Benutzern und Apps, die versuchen, auf einen Tresor zuzugreifen. Um der Webanwendung Zugriff auf den Tresor zu gewähren, müssen Sie die App zunächst bei Microsoft Entra ID registrieren. Bei der Registrierung wird eine Identität für die App erstellt. Sobald die App über eine Identität verfügt, können Sie ihr Tresorberechtigungen zuweisen.

Apps und Benutzer*innen authentifizieren sich bei Key Vault mithilfe eines Microsoft Entra-Authentifizierungstokens. Für das Abrufen eines Tokens aus Microsoft Entra ID ist ein Geheimnis oder ein Zertifikat erforderlich. Jede Person mit einem Token könnte die App-Identität verwenden, um auf alle Geheimnisse im Tresor zuzugreifen.

Die App-Geheimnisse sind im Tresor sicher, aber Sie benötigen dennoch noch ein Geheimnis oder Zertifikat außerhalb des Tresors, um darauf zugreifen zu können. Dieses Problem wird Bootstrapping genannt, wofür Azure allerdings eine Lösung hat.

Verwaltete Identitäten für Azure-Ressourcen

Verwaltete Identitäten für Azure sind ein Feature von Azure, mit dem Ihre App auf den Key Vault und andere Azure-Dienste zugreifen kann, ohne selbst ein Geheimnis außerhalb des Tresors verwalten zu müssen. Das Verwenden einer verwalteten Identität ist eine einfache und sichere Möglichkeit zur Nutzung von Key Vault in Ihrer Web-App.

Wenn Sie die verwaltete Identität für Ihre Web-App aktivieren, aktiviert Azure speziell für Ihre Anwendung einen eigenständigen REST-Dienst, der Token vergibt. Ihre App fordert Token nicht direkt von Microsoft Entra ID, sondern von diesem Dienst an. Für den Zugriff auf den Dienst muss Ihre App ein Geheimnis verwenden. Dieses wird beim Start Ihrer App von App Service eingefügt und den Umgebungsvariablen zugewiesen. Sie müssen diesen Geheimniswert nirgendwo verwalten oder speichern. Außerhalb Ihrer App sind das Geheimnis und der Endpunkt des Tokendiensts der verwalteten Identität nicht zugänglich.

Verwaltete Identitäten für Azure-Ressourcen registrieren Ihre App auch in Microsoft Entra ID für Sie. Microsoft Entra ID löscht die Registrierung, wenn Sie die Web-App löschen oder deren verwaltete Identität deaktivieren.

Verwaltete Identitäten sind in allen Editionen von Microsoft Entra ID verfügbar, einschließlich der Free Edition, die in einem Azure-Abonnement enthalten ist. Ihre Verwendung in App Service ist kostenlos, erfordert keine Konfiguration und kann jederzeit in einer App aktiviert oder deaktiviert werden.

Für die Aktivierung einer verwalteten Identität für eine Web-App muss nur ein einziger Azure CLI-Befehl ohne Konfiguration ausgeführt werden. Diesen Schritt führen Sie später aus, wenn Sie eine App Service-App einrichten und in Azure bereitstellen. Vorher nutzen Sie jedoch Ihr Wissen über verwaltete Identitäten, um den Code für Ihre App zu schreiben.

Überprüfen Sie Ihr Wissen

1.

Wie ändert die Verwendung verwalteter Identitäten für Azure-Ressourcen die Art, in der eine App sich bei Azure Key Vault authentifiziert?

2.

Welche dieser Anweisungen beschreibt einen wesentlichen Vorteil der Verwendung verwalteter Identitäten zur Authentifizierung einer App bei Key Vault?