Authentifizieren von Azure gehosteten Java Apps für Azure Ressourcen mithilfe einer vom System zugewiesenen verwalteten Identität

Der empfohlene Ansatz zum Authentifizieren einer Azure gehosteten App für andere Azure Ressourcen ist die Verwendung einer managed Identity. Die meisten Azure-Dienste unterstützen diesen Ansatz, einschließlich apps, die auf Azure App Service, Azure Container Apps und Azure Virtual Machines gehostet werden. Weitere Informationen finden Sie unter Azure Services und Ressourcentypen, die verwaltete Identitäten unterstützen. Weitere Informationen zu verschiedenen Authentifizierungstechniken und -ansätzen finden Sie unter Authenticate Java apps to Azure services by using the Azure Identity library.

In den folgenden Abschnitten lernen Sie:

Grundlegende Konzepte für verwaltete Identitäten.
So erstellen Sie eine vom System zugewiesene verwaltete Identität für Ihre App.
So weisen Sie der vom System zugewiesenen verwalteten Identität Rollen zu.
So authentifizieren Sie sich mithilfe der vom System zugewiesenen verwalteten Identität aus Ihrem App-Code.

Grundlegende Konzepte für verwaltete Identitäten

Mit einer verwalteten Identität kann Ihre App sicher eine Verbindung mit anderen Azure Ressourcen herstellen, ohne geheime Schlüssel oder andere geheime Anwendungsschlüssel zu verwenden. Intern verfolgt Azure die Identität und zu welchen Ressourcen es eine Verbindung herstellen darf. Azure verwendet diese Informationen, um automatisch Microsoft Entra Token für die App abzurufen, damit sie eine Verbindung mit anderen Azure-Ressourcen herstellen kann.

Es gibt zwei Arten von verwalteten Identitäten, die Sie beim Konfigurieren Ihrer gehosteten App berücksichtigen sollten:

System-assigned verwaltete Identitäten werden direkt auf einer Azure-Ressource aktiviert und sind an deren Lebenszyklus gebunden. Wenn die Ressource gelöscht wird, löscht Azure automatisch die Identität für Sie. Vom System zugewiesene Identitäten bieten einen minimalistischen Ansatz für die Verwendung verwalteter Identitäten.
User-assigned verwaltete Identitäten werden als eigenständige Azure Ressourcen erstellt und bieten größere Flexibilität und erweiterte Funktionalitäten. Sie eignen sich ideal für Lösungen mit mehreren Azure Ressourcen, die dieselbe Identität und Berechtigungen gemeinsam nutzen müssen. Wenn beispielsweise mehrere virtuelle Computer auf denselben Satz von Azure Ressourcen zugreifen müssen, bietet eine vom Benutzer zugewiesene verwaltete Identität wiederverwendbarkeit und optimierte Verwaltung.

Tipp

Erfahren Sie mehr über das Auswählen und Verwalten von vom System zugewiesenen und vom Benutzer zugewiesenen verwalteten Identitäten im Empfehlungsartikel zu bewährten Methoden für verwaltete Identitäten .

In den folgenden Abschnitten werden die Schritte zum Aktivieren und Verwenden einer vom System zugewiesenen verwalteten Identität für eine Azure gehostete App beschrieben. Wenn Sie eine vom Benutzer zugewiesene verwaltete Identität verwenden müssen, lesen Sie Authentifizieren Sie Azure-gehostete Java-Apps auf Azure-Ressourcen mithilfe einer vom Benutzer zugewiesenen verwalteten Identität.

Aktivieren einer vom System zugewiesenen verwalteten Identität auf der Azure Hostingressource

Um mit der Verwendung einer vom System zugewiesenen verwalteten Identität mit Ihrer App zu beginnen, aktivieren Sie die Identität auf der Azure Ressource, die Ihre App hosten soll, z. B. eine Azure App Service, Azure Container Apps oder Azure Virtual Machines Instanz.

Sie können eine vom System zugewiesene verwaltete Identität für eine Azure Ressource entweder über das Azure Portal oder die Azure CLI aktivieren.

Azure Portal
Azure CLI

Navigieren Sie im Azure-Portal zu der Ressource, in der Ihr Anwendungscode gehostet wird, z. B. eine Azure App Service- oder Azure Container Apps Instanz.
Blenden Sie auf der Seite Übersicht der Ressource Einstellungen ein, und wählen Sie im Navigationsbereich Identität.
Schalten Sie auf der Seite Identität den Status-Schieberegler auf Ein.
Wählen Sie "Speichern" aus, um Ihre Änderungen anzuwenden.

Azure CLI Befehle können im Azure Cloud Shell oder auf einer Arbeitsstation ausgeführt werden, auf der Azure CLI installiert ist.

Die Azure CLI Befehle, die zum Aktivieren der verwalteten Identität für eine Azure Ressource verwendet werden, sind das Formular az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Spezifische Befehle für beliebte Azure Dienste werden unten angezeigt.

Azure App Service:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Azure Container Apps:

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <container-app-name> \
    --system-assigned

Azure Virtual Machines:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Die Ausgabe sieht ungefähr so aus:

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Der principalId Wert ist die eindeutige ID der verwalteten Identität. Bewahren Sie eine Kopie dieser Ausgabe auf, da Sie diese Werte im nächsten Schritt benötigen.

Rollen der verwalteten Identität zuweisen

Ermitteln Sie als Nächstes, welche Rollen Ihre App benötigt, und weisen Sie diese Rollen der verwalteten Identität zu. Sie können einer verwalteten Identität rollen in den folgenden Bereichen zuweisen:

Ressource: Die zugewiesenen Rollen gelten nur für diese bestimmte Ressource.
Ressourcengruppe: Die zugewiesenen Rollen gelten für alle Ressourcen, die in der Ressourcengruppe enthalten sind.
Abonnement-: Die zugewiesenen Rollen gelten für alle Im Abonnement enthaltenen Ressourcen.

Das folgende Beispiel zeigt, wie Rollen im Ressourcengruppenbereich zugewiesen werden, da viele Apps alle zugehörigen Azure Ressourcen mithilfe einer einzelnen Ressourcengruppe verwalten.

Azure Portal
Azure CLI

Navigieren Sie zur Seite "Übersicht" der Ressourcengruppe, die die App mit der vom System zugewiesenen verwalteten Identität enthält.
Wählen Sie im Navigationsbereich links Zugriffssteuerung (IAM).
Wählen Sie auf der Seite Zugriffssteuerung (IAM) im oberen Menü + Hinzufügen. Wählen Sie dann Rollenzuweisung hinzufügen, um zur Seite Rollenzuweisung hinzufügen zu navigieren.
Die Seite Rollenzuweisung hinzufügen stellt einen mehrstufigen Workflow zum Zuweisen von Rollen für Identitäten auf Registerkarten bereit. Verwenden Sie auf der ersten Registerkarte Rolle das Suchfeld oben, um die Rolle zu suchen, die Sie der Identität zuweisen möchten.
Wählen Sie die Rolle in den Ergebnissen. Wählen Sie dann Weiter, um zur Registerkarte Mitglieder zu gelangen.
Wählen Sie für die Option Zuweisen des Zugriffs auf die Option Verwaltete Identitätaus.
Wählen Sie für die Option Mitglieder+ Mitglieder auswählen, um den Bereich Verwaltete Identitäten auswählen zu öffnen.
Verwenden Sie im Bereich "Verwaltete Identitäten auswählen" die Dropdownlisten "Abonnement" und "Verwaltete Identität", um die Suchergebnisse für Ihre Identitäten zu filtern. Verwenden Sie das Suchfeld Select, um die Systemidentität zu finden, die Sie für die Azure Ressource aktiviert haben, die Ihre App hosten soll.
Wählen Sie die Identität und dann unten im Bereich Auswählen, um fortzufahren.
Wählen Sie unten auf der Seite Überprüfen und zuweisen.
Wählen Sie auf der letzten Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen, um den Workflow abzuschließen.

Einer verwalteten Identität wird eine Rolle in Azure mithilfe des Befehls az-Rollenzuweisung zugewiesen:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Um die Rollennamen abzurufen, denen ein Dienstprinzipal zugewiesen werden kann, verwenden Sie den Befehl " az role definition list ":

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Um beispielsweise die verwaltete Identität mit der ID aaaaaaaa-bbbb-cccc-1111-222222222222 lesen, schreiben und löschen zu lassen, Zugriff auf Azure Storage BLOB-Container und -Daten für alle Speicherkonten in der Ressourcengruppe msdocs-sdk-auth-example haben, weisen Sie den Anwendungs-Dienstprinzipal der Rolle Storage Blob Data Contributor mithilfe des folgenden Befehls zu:

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

Informationen zum Zuweisen von Berechtigungen auf Ressourcen- oder Abonnementebene mithilfe des Azure CLI finden Sie im Artikel Assign Azure Rollen mithilfe der Azure CLI.

Authentifizieren bei Azure Diensten aus Ihrer App

Die Azure Identity Library stellt verschiedene Anmeldeinformationen als Implementierungen von TokenCredential bereit. Jede Implementierung unterstützt unterschiedliche Szenarien und Microsoft Entra Authentifizierungsflüsse. Verwenden Sie für Azure gehostete Apps DefaultAzureCredential, wodurch bei der Ausführung in Azure automatisch verwaltete Identitätsanmeldeinformationen ermittelt werden.

Implementieren des Codes

Fügen Sie die azure-identity Abhängigkeit zu Ihrer pom.xml Datei hinzu.

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Sie greifen auf Azure Dienste zu, indem Sie spezielle Clientklassen aus den Azure SDK Clientbibliotheken verwenden. Die folgenden Codebeispiele zeigen, wie Sie die Anmeldedaten für die systemzugewiesene verwaltete Identitätsauthentifizierung konfigurieren.

Verwendung von DefaultAzureCredential

Verwenden Sie DefaultAzureCredential für Azure gehostete Apps, da beim Ausführen in Azure automatisch verwaltete Identitätsanmeldeinformationen erkannt werden. Für vom System zugewiesene verwaltete Identitäten ist keine zusätzliche Konfiguration erforderlich.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// DefaultAzureCredential automatically discovers managed identity when running in Azure
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Verwenden von ManagedIdentityCredential

Wenn Sie die verwalteten Identitätsanmeldeinformationen explizit verwenden und die Anmeldeinformationskette in DefaultAzureCredential vermeiden möchten, verwenden Sie ManagedIdentityCredential direkt. Geben Sie für vom System zugewiesene verwaltete Identitäten keine Client-ID an:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// For system-assigned managed identity, don't specify a client ID
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Nächste Schritte

In diesem Artikel wurde die Authentifizierung mit einer vom System zugewiesenen verwalteten Identität behandelt. Diese Form der Authentifizierung ist eine von mehreren Möglichkeiten, wie Sie sich im Azure SDK für Java authentifizieren können. In den folgenden Artikeln werden weitere Möglichkeiten beschrieben:

Wenn Probleme im Zusammenhang mit der Azure-gehosteten Anwendungsauthentifizierung auftreten, lesen Sie Probleme mit der Azure-gehosteten Anwendungsauthentifizierung beheben.

Nachdem Sie die Authentifizierung gemeistert haben, sehen Sie sich Konfigurieren der Protokollierung im Azure SDK für Java an, um Informationen über die vom SDK bereitgestellten Protokollierungsfunktionen zu erhalten.

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-11