Authentifizieren von Azure gehosteten Java Apps für Azure Ressourcen mithilfe einer vom Benutzer zugewiesenen verwalteten Identität

Der empfohlene Ansatz zum Authentifizieren einer Azure gehosteten App für andere Azure Ressourcen ist die Verwendung einer managed Identity. Die meisten Azure-Dienste unterstützen diesen Ansatz, einschließlich apps, die auf Azure App Service, Azure Container Apps und Azure Virtual Machines gehostet werden. Weitere Informationen finden Sie unter Azure Services und Ressourcentypen, die verwaltete Identitäten unterstützen. Weitere Informationen zu verschiedenen Authentifizierungstechniken und -ansätzen finden Sie unter Authenticate Java apps to Azure services by using the Azure Identity library.

In den folgenden Abschnitten erfahren Sie mehr über:

Grundlegende Konzepte für verwaltete Identitäten.
So erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität für Ihre App.
So weisen Sie der vom Benutzer zugewiesenen verwalteten Identität Rollen zu.
So authentifizieren Sie sich mithilfe der vom Benutzer zugewiesenen verwalteten Identität aus Ihrem App-Code.

Grundlegende Konzepte für verwaltete Identitäten

Mit einer verwalteten Identität kann Ihre App sicher eine Verbindung mit anderen Azure Ressourcen herstellen, ohne geheime Schlüssel oder andere geheime Anwendungsschlüssel zu verwenden. Intern verfolgt Azure die Identität und zu welchen Ressourcen es eine Verbindung herstellen darf. Azure verwendet diese Informationen, um automatisch Microsoft Entra Token für die App abzurufen, damit sie eine Verbindung mit anderen Azure-Ressourcen herstellen kann.

Es gibt zwei Arten von verwalteten Identitäten, die Sie beim Konfigurieren Ihrer gehosteten App berücksichtigen sollten:

System-assigned verwaltete Identitäten werden direkt auf einer Azure-Ressource aktiviert und sind an deren Lebenszyklus gebunden. Wenn die Ressource gelöscht wird, löscht Azure automatisch die Identität für Sie. Vom System zugewiesene Identitäten bieten einen minimalistischen Ansatz für die Verwendung verwalteter Identitäten.
User-assigned verwaltete Identitäten werden als eigenständige Azure Ressourcen erstellt und bieten größere Flexibilität und erweiterte Funktionalitäten. Sie eignen sich ideal für Lösungen mit mehreren Azure Ressourcen, die dieselbe Identität und Berechtigungen gemeinsam nutzen müssen. Wenn beispielsweise mehrere virtuelle Computer auf denselben Satz von Azure Ressourcen zugreifen müssen, bietet eine vom Benutzer zugewiesene verwaltete Identität wiederverwendbarkeit und optimierte Verwaltung.

Tipp

Erfahren Sie mehr über das Auswählen und Verwalten von vom System zugewiesenen und vom Benutzer zugewiesenen verwalteten Identitäten im Empfehlungsartikel zu bewährten Methoden für verwaltete Identitäten .

In den folgenden Abschnitten werden die Schritte zum Aktivieren und Verwenden einer vom Benutzer zugewiesenen verwalteten Identität für eine Azure gehostete App beschrieben. Wenn Sie eine vom System zugewiesene verwaltete Identität verwenden müssen, lesen Sie Authentifizierung von in Azure gehosteten Java Apps für Azure-Ressourcen mit einer vom System zugewiesenen verwalteten Identität.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Vom Benutzer zugewiesene verwaltete Identitäten werden mithilfe des Azure Portals oder der Azure CLI als eigenständige Ressourcen in Ihrem Azure-Abonnement erstellt. Azure CLI Befehle können im Azure Cloud Shell oder auf einer Arbeitsstation ausgeführt werden, auf der Azure CLI installiert ist.

Azure Portal
Azure CLI

Geben Sie im Azure Portal Managed-Identitäten in der Hauptsuchleiste ein, und wählen Sie das entsprechende Ergebnis unter dem Abschnitt Services aus.
Wählen Sie auf der Seite Verwaltete Identitäten die Option + Erstellen aus.
Wählen Sie auf der Seite " Vom Benutzer zugewiesene verwaltete Identität erstellen " ein Abonnement, eine Ressourcengruppe und eine Region für die vom Benutzer zugewiesene verwaltete Identität aus, und geben Sie dann einen Namen an.
Wählen Sie "Überprüfen + Erstellen" aus, um Ihre Eingaben zu überprüfen und zu validieren.
Wählen Sie "Erstellen" aus, um die vom Benutzer zugewiesene verwaltete Identität zu erstellen.
Nachdem die Identität erstellt wurde, wählen Sie "Zur Ressource wechseln" aus.
Kopieren Sie auf der Seite "Übersicht" der neuen Identität den Client-ID-Wert , der später verwendet werden soll, wenn Sie den Anwendungscode konfigurieren.

Verwenden Sie den Befehl Azure CLIaz identity create, um eine verwaltete Identität zu erstellen:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

Die Befehlsausgabe gibt die Client-ID der erstellten benutzerzugewiesenen, verwalteten Identität aus. Die Client-ID wird verwendet, um Anwendungscode zu konfigurieren, der auf der Identität basiert.

Mithilfe des az identity show Befehls können Sie die Eigenschaften der verwalteten Identität immer wieder anzeigen:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Weisen Sie Ihrer App die verwaltete Identität zu

Eine vom Benutzer zugewiesene verwaltete Identität kann einer oder mehreren Azure Ressourcen zugeordnet werden. Alle Ressourcen, die diese Identität nutzen, erhalten die Berechtigungen, die durch die Rollen der Identität vergeben werden.

Azure Portal
Azure CLI

Navigieren Sie im Azure-Portal zu der Ressource, die Ihren App-Code hostt, z. B. eine Azure App Service- oder Azure Container Apps Instanz.
Blenden Sie auf der Seite Übersicht der Ressource Einstellungen ein, und wählen Sie im Navigationsbereich Identität.
Wechseln Sie auf der Seite Identität zur Registerkarte Benutzerzugewiesen.
Wählen Sie + Hinzufügen aus, um den Bereich Benutzerzugewiesene verwaltete Identität hinzufügen zu öffnen.
Verwenden Sie im Bereich "Vom Benutzer zugewiesene verwaltete Identität hinzufügen " das Dropdownmenü "Abonnement ", um die Suchergebnisse nach Ihren Identitäten zu filtern. Verwenden Sie das Suchfeld Benutzer zugewiesene verwaltete Identitäten, um die vom Benutzer zugewiesene verwaltete Identität zu finden, die Sie für die Azure Ressource aktiviert haben, die Ihre App hosten soll.
Wählen Sie die Identität aus, und wählen Sie "Hinzufügen" am unteren Rand des Bereichs aus, um den Vorgang fortzusetzen.

Die Azure CLI stellt verschiedene Befehle bereit, um einer vom Benutzer zugewiesenen verwalteten Identität verschiedene Arten von Hostingdiensten zuzuweisen.

Zum Zuweisen einer vom Benutzer zugewiesenen verwalteten Identität zu einer Ressource, z. B. einer Azure App Service Web-App mit dem Azure CLI, benötigen Sie die Ressourcen-ID der Identität. Verwenden Sie den az identity show Befehl, um die Ressourcen-ID abzurufen:
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query id
```
Nachdem Sie über die Ressourcen-ID verfügen, verwenden Sie den Befehl Azure CLI befehl az <resourceType> identity assign, um die vom Benutzer zugewiesene verwaltete Identität mit verschiedenen Ressourcen zu verknüpfen, z. B. folgendes:

Verwenden Sie für Azure App Service den befehl Azure CLI az webapp identity assign:
```
az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <user-assigned-identity-resource-id>
```
Verwenden Sie für Azure Container Apps den Befehl Azure CLI az containerapp identity assign:
```
az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --user-assigned <user-assigned-identity-resource-id>
```
Verwenden Sie für Azure Virtual Machines den Azure CLI-Befehl az vm identity assign:
```
az vm identity assign \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --identities <user-assigned-identity-resource-id>
```

Rollen der verwalteten Identität zuweisen

Ermitteln Sie als Nächstes, welche Rollen Ihre App benötigt, und weisen Sie diese Rollen der verwalteten Identität zu. Sie können einer verwalteten Identität rollen in den folgenden Bereichen zuweisen:

Ressource: Die zugewiesenen Rollen gelten nur für diese bestimmte Ressource.
Ressourcengruppe: Die zugewiesenen Rollen gelten für alle Ressourcen, die in der Ressourcengruppe enthalten sind.
Abonnement-: Die zugewiesenen Rollen gelten für alle Im Abonnement enthaltenen Ressourcen.

Das folgende Beispiel zeigt, wie Rollen im Ressourcengruppenbereich zugewiesen werden, da viele Apps alle zugehörigen Azure Ressourcen mithilfe einer einzelnen Ressourcengruppe verwalten.

Azure Portal
Azure CLI

Navigieren Sie zur Übersichtsseite der Ressourcengruppe, die die App mit der vom Benutzer zugewiesenen verwalteten Identität enthält.
Wählen Sie im Navigationsbereich links Zugriffssteuerung (IAM).
Wählen Sie auf der Seite Zugriffssteuerung (IAM) im oberen Menü + Hinzufügen. Wählen Sie dann Rollenzuweisung hinzufügen, um zur Seite Rollenzuweisung hinzufügen zu navigieren.
Die Seite Rollenzuweisung hinzufügen stellt einen mehrstufigen Workflow zum Zuweisen von Rollen für Identitäten auf Registerkarten bereit. Verwenden Sie auf der ersten Registerkarte Rolle das Suchfeld oben, um die Rolle zu suchen, die Sie der Identität zuweisen möchten.
Wählen Sie die Rolle in den Ergebnissen. Wählen Sie dann Weiter, um zur Registerkarte Mitglieder zu gelangen.
Wählen Sie für die Option Zuweisen des Zugriffs auf die Option Verwaltete Identitätaus.
Wählen Sie für die Option Mitglieder+ Mitglieder auswählen, um den Bereich Verwaltete Identitäten auswählen zu öffnen.
Verwenden Sie im Bereich "Verwaltete Identitäten auswählen" die Dropdownlisten "Abonnement" und "Verwaltete Identität", um die Suchergebnisse für Ihre Identitäten zu filtern. Verwenden Sie das Suchfeld Select, um die vom Benutzer zugewiesene verwaltete Identität zu suchen, die Sie für die Azure Ressource aktiviert haben, die Ihre App hosten soll.
Wählen Sie die Identität und dann unten im Bereich Auswählen, um fortzufahren.
Wählen Sie unten auf der Seite Überprüfen und zuweisen.
Wählen Sie auf der letzten Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen, um den Workflow abzuschließen.

Zum Zuweisen einer Rolle zu einer vom Benutzer zugewiesenen verwalteten Identität mithilfe des Azure CLI benötigen Sie die Prinzipal-ID der Identität. Verwenden Sie den az identity show Befehl, um die Hauptkennung abzurufen.
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query principalId
```
Verwenden Sie den Befehl " az-Rollendefinitionsliste" , um zu untersuchen, welche Rollen eine verwaltete Identität zugewiesen werden kann:
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Weisen Sie einer verwalteten Identität eine Rolle zu, indem Sie den Befehl "az role assignment create" verwenden :
```
az role assignment create \
    --assignee <your-principal-id> \
    --role <role-name> \
    --scope <scope>
```
Um beispielsweise die verwaltete Identität mit der ID 99999999-9999-9999-9999-999999999999 lesen, schreiben und löschen zu lassen, Zugriff auf Azure Storage BLOB-Container und -Daten für alle Speicherkonten in der Ressourcengruppe msdocs-sdk-auth-example haben, weisen Sie den Anwendungs-Dienstprinzipal der Rolle Storage Blob Data Contributor mithilfe des folgenden Befehls zu:
```
az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
```

Informationen zum Zuweisen von Berechtigungen auf Ressourcen- oder Abonnementebene mithilfe des Azure CLI finden Sie im Artikel Assign Azure Rollen mithilfe der Azure CLI.

Authentifizieren bei Azure Diensten aus Ihrer App

Die Azure Identitätsbibliothek stellt verschiedene Credentials bereit– Implementierungen von TokenCredential, die an die Unterstützung verschiedener Szenarien und Microsoft Entra Authentifizierungsflüsse angepasst sind. Da verwaltete Identität bei der lokalen Ausführung nicht verfügbar ist, zeigen die folgenden Schritte, welche Anmeldeinformationen in welchem Szenario verwendet werden sollen:

Lokale Entwicklungsumgebung: Verwenden Sie während der lokalen Entwicklung nur eine Klasse namens DefaultAzureCredential für eine meinungsvermerkte, vorkonfigurierte Kette von Anmeldeinformationen. DefaultAzureCredential ermittelt Benutzeranmeldeinformationen aus Ihren lokalen Tools oder IDE, z. B. dem Azure CLI oder Visual Studio Code. Außerdem bietet es Flexibilität und Komfort für Wiederholungen, Wartezeiten für Antworten und Unterstützung für mehrere Authentifizierungsoptionen. Besuchen Sie den Artikel Authentifizierung bei Azure-Diensten während der lokalen Entwicklung, um mehr zu erfahren.
Azure gehostete Apps: Wenn Ihre App in Azure ausgeführt wird, verwenden Sie ManagedIdentityCredential, um die für Ihre App konfigurierte verwaltete Identität sicher zu ermitteln. Wenn Sie diesen genauen Anmeldedatentyp angeben, wird verhindert, dass andere verfügbare Anmeldedaten versehentlich verwendet werden.

Implementieren des Codes

Fügen Sie die azure-identity Abhängigkeit zu Ihrer pom.xml Datei hinzu.

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Auf Azure-Dienste wird mithilfe spezieller Clientklassen aus den verschiedenen Azure SDK-Clientbibliotheken zugegriffen. Im folgenden Codebeispiel wird veranschaulicht, wie man eine Anmeldeinformationsinstanz erstellt und sie mit einem Azure SDK-Dienstclient verwendet. Führen Sie im Anwendungscode die folgenden Schritte aus, um sich mithilfe einer verwalteten Identität zu authentifizieren:

Importieren Sie die Klassen DefaultAzureCredentialBuilder, ManagedIdentityCredentialBuilder und TokenCredential.
Übergeben Sie eine entsprechende TokenCredential Instanz an den Client:
- Verwenden Sie DefaultAzureCredential, wenn es lokal ausgeführt wird.
- Verwenden Sie ManagedIdentityCredential, wenn Ihre App in Azure ausgeführt wird, und konfigurieren Sie entweder die Client-ID, Ressourcen-ID oder Objekt-ID.

Die Client-ID wird verwendet, um eine verwaltete Identität beim Konfigurieren von Anwendungen oder Diensten zu identifizieren, die sich mithilfe dieser Identität authentifizieren müssen.

Rufen Sie die Client-ID ab, die einer vom Benutzer zugewiesenen verwalteten Identität zugewiesen ist, indem Sie den folgenden Befehl verwenden:
```
az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query clientId \
    --output tsv
```

Konfigurieren Sie ManagedIdentityCredential mit der Client-ID:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the client ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .clientId("<user-assigned-managed-identity-client-id>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Die Ressourcen-ID identifiziert die verwaltete Identitätsressource innerhalb Ihres Azure-Abonnements eindeutig mithilfe der folgenden Struktur:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Ressourcen-IDs können nach Konventionen erstellt werden, wodurch sie beim Arbeiten mit einer großen Anzahl von vom Benutzer zugewiesenen verwalteten Identitäten in Ihrer Umgebung bequemer werden.

Rufen Sie die Ressourcen-ID ab, die einer vom Benutzer zugewiesenen verwalteten Identität zugewiesen ist, indem Sie den folgenden Befehl verwenden:
```
az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query id \
    --output tsv
```

Konfigurieren Sie ManagedIdentityCredential mithilfe der Ressourcen-ID:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the resource ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .resourceId("/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Die Objekt-ID ist der eindeutige Bezeichner des Dienstprinzipals der verwalteten Identität in Microsoft Entra ID. Eine Prinzipal-ID ist ein anderer Name für eine Objekt-ID.

Rufen Sie die Objekt-ID ab, die einer vom Benutzer zugewiesenen verwalteten Identität zugewiesen ist, indem Sie den folgenden Befehl verwenden:
```
az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query principalId \
    --output tsv
```

Konfigurieren Sie ManagedIdentityCredential unter Verwendung der Objekt-ID:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the object ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .objectId("<user-assigned-managed-identity-object-id>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Nächste Schritte

In diesem Artikel wurde die Authentifizierung mithilfe einer vom Benutzer zugewiesenen verwalteten Identität behandelt. Diese Form der Authentifizierung ist eine von mehreren Möglichkeiten, wie Sie sich im Azure SDK für Java authentifizieren können. In den folgenden Artikeln werden weitere Methoden zur Authentifizierung beschrieben:

Wenn Probleme im Zusammenhang mit der Azure-gehosteten Anwendungsauthentifizierung auftreten, lesen Sie Probleme mit der Azure-gehosteten Anwendungsauthentifizierung beheben.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-02