Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine häufige Herausforderung für Entwickler besteht darin, geheime Schlüssel, Anmeldeinformationen, Zertifikate und Schlüssel zu verwalten, die zur Sicherung der Kommunikation zwischen Diensten verwendet werden. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten.
Während Entwickler die Geheimnisse in Azure Key Vault sicher speichern können, benötigen Dienste eine Möglichkeit zum Zugriff auf Azure Key Vault. Verwaltete Identitäten stellen eine automatisch verwaltete Identität in Microsoft Entra-ID für Anwendungen bereit, die beim Herstellen einer Verbindung mit Ressourcen verwendet werden, die die Microsoft Entra-Authentifizierung unterstützen. Anwendungen können verwaltete Identitäten verwenden, um Microsoft Entra-Token abzurufen, ohne Anmeldeinformationen verwalten zu müssen.
Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:
- Sie brauchen keine Anmeldeinformationen zu verwalten. Sie können nicht auf Anmeldeinformationen zugreifen.
- Sie können verwaltete Identitäten zur Authentifizierung bei einer beliebigen Ressource verwenden, die Microsoft Entra-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
- Sie können verwaltete Identitäten ohne zusätzliche Kosten verwenden.
Typen von verwalteten Identitäten, die in Azure verfügbar sind
Es gibt zwei Arten von verwalteten Identitäten:
System zugewiesen: Einige Azure-Ressourcentypen, z. B. Azure-Datenbank für PostgreSQL, ermöglichen es Ihnen, eine verwaltete Identität direkt auf der Ressource zu aktivieren. Diese werden als systemseitig zugewiesene verwaltete Identitäten bezeichnet. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, gilt Folgendes:
Microsoft Entra ID erstellt einen Serviceprinzipal eines speziellen Typs für die Identität. Der Dienstprinzipal ist an den Lebenszyklus dieser Azure-Ressource gebunden. Wenn Sie die Azure-Ressource löschen, löscht Azure automatisch den Serviceprinzipal für Sie.
Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Microsoft Entra ID verwenden.
Sie können den Dienstprinzipal, der der verwalteten Identität zugeordnet ist, so autorisieren, dass er Zugriff auf einen oder mehrere Dienste hat.
Der dem Dienstprinzipal zugewiesene Name, der der verwalteten Identität zugeordnet ist, entspricht immer dem Namen der Azure-Ressource, für die der Dienstprinzipal erstellt wird.
Benutzer zugewiesen: Einige Azure Ressourcentypen unterstützen auch die Zuordnung verwalteter Identitäten, die Sie als unabhängige Ressourcen erstellen. Der Lebenszyklus dieser Identitäten ist unabhängig vom Lebenszyklus der Ressourcen, denen sie zugewiesen sind. Sie können sie mehreren Ressourcen zuweisen. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität aktivieren, gilt Folgendes:
Microsoft Entra ID erstellt einen Dienstprinzipal eines speziellen Typs für die Identität. Sie verwalten den Dienstprinzipal getrennt von den Ressourcen, die ihn verwenden.
Mehrere Ressourcen können benutzerseitig zugewiesene Identitäten verwenden.
Sie autorisieren die verwaltete Identität zum Zugriff auf einen oder mehrere Dienste.
Verwendung von verwalteten Identitäten in der Azure-Datenbank für PostgreSQL
Ein Azure Database for PostgreSQL verwendet vom System zugewiesene verwaltete Identität für:
-
azure_storage-Erweiterung, wenn Sie sie für den Zugriff auf ein Speicherkonto mit dem Authentifizierungstyp
managed-identitykonfigurieren. Weitere Informationen finden Sie unter Konfigurieren der azure_storage-Erweiterung zur Verwendung der Autorisierung mit Microsoft Entra ID. - Von Microsoft Fabric gespiegelte Datenbanken aus Azure Database for PostgreSQL (Vorschau) verwendet die Anmeldeinformationen der systemseitig zugewiesenen verwalteten Identität, um die Anfragen zu signieren, die Ihr flexibler Server an den Azure Data Lake-Dienst in Microsoft Fabric sendet, um Ihre angegebenen Datenbanken zu spiegeln.
Verwenden Sie vom Benutzer zugewiesene verwaltete Identitäten, die Sie für einen Azure Database for PostgreSQL flexiblen Server konfigurieren: