Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Active Directory

Verwaltete Azure-Identitäten: Definition, Typen, Vorteile + Demonstration

In diesem Leitfaden erfahren Sie mehr über verwaltete Azure-Identitäten: Was das ist, wie viele Typen es gibt, welche Vorteile sie bieten und wie sie funktionieren.
Neeraj Kumar
7 minute gelesen
Letzte aktualisierung 24. Oktober 2022

Inhalt

    Das häufigste Problem, mit dem Entwickler zu kämpfen haben, wenn es um die Sicherung der Kommunikation zwischen verschiedenen Diensten und Geräten geht, ist die Verwaltung und Sicherung von Anmeldeinformationen, Schlüsseln, Zertifikaten und Geheimnissen innerhalb ihrer Cloud-nativen Anwendungen. Wenn solche Anmeldeinformationen, Geheimnisse und Schlüssel jedoch direkt im Anwendungscode gespeichert werden, ist die Sicherheit der Anwendung bedroht. 

    Indem solche Daten aus dem Code entfernt werden, kann man die Sicherheit der Anwendung erhöhen, aber wie können dann Anmeldeinformationen, Schlüssel und Geheimnisse verwaltet werden? Hier kommen verwaltete Identitäten ins Spiel. Mit verwalteten Identitäten müssen Ihre Entwickler solche Informationen nicht mehr manuell verarbeiten.

    Was sind verwaltete Identitäten in Azure?

    Verwaltete Identitäten entlasten die manuelle Verwaltung von Zugangsdaten, Geheimnissen, Passwörtern und Schlüsseln im Anwendungscode. Stattdessen werden diese Informationen automatisch im Azure Active Directory (AD) verwaltet, wenn eine Verbindung mit Ressourcen hergestellt wird, die die AD-Authentifizierung unterstützen. Mit verwalteten Identitäten können Azure-AD-Token angefordert und empfangen werden, ohne dass dafür mit Zugangsdaten, Geheimnissen, Schlüsseln und Kennwörtern gearbeitet werden muss.

    Holen Sie sich den kostenlosen Grundlagen-Videokurs für PowerShell und Active Directory.

    Azure Key Vault ist eine alternative Lösung zum Speichern und Verwalten der Geheimnisse und Anmeldeinformationen einer Anwendung. In diesem Fall werden die Informationen innerhalb des Key Vaults gespeichert. Die Anwendung muss sich jedoch weiterhin beim Azure Key Vault authentifizieren, um die Schlüssel und andere Geheimnisse abzurufen. Das bedeutet, dass weiterhin wichtige Informationen direkt im Anwendungscode gespeichert werden müssen.

    Verwaltete Identitäten für Azure-Ressourcen – die neue Bezeichnung für den früher als Managed Service Identity (MSI) bekannten Dienst – sind äußerst leistungsfähig und reduzieren den mit der manuellen Überwachung verbundenen Arbeitsaufwand. Der Code bleibt sauber, und mit Azure Key Vault müssen die Konfigurationen nicht innerhalb des Codes gepflegt werden. Sie können auch auf andere Azure-Ressourcen zugreifen, die die AD-Authentifizierung unterstützen, ohne deren jeweilige Verbindungs-Strings und andere Konfigurationsdetails in der Anwendung zu speichern. Sie können Operationen an Berechtigungen für verwaltete Identitäten über das Azure-Portal, eine ARM-Vorlage, Azure CLI, PowerShell und REST-APIs ausführen.

    Verschiedene Arten verwalteter Identitäten und die Unterschiede zwischen ihnen

    Es gibt zwei Arten von verwalteten Identitäten: 

    1. Vom System zugewiesene verwaltete Identitäten
    2. Vom Benutzer zugewiesene verwaltete Identitäten

    Beide Arten von Identitäten unterscheiden sich im Detail, und jede hat ihre eigenen Vor- und Nachteile. Lassen Sie uns die Merkmale und Unterschiede zwischen diesen beiden Arten von Identitäten erläutern.

    Vom System zugewiesene verwaltete Identitäten

    Vom System zugewiesene verwaltete Identitäten lassen sich für die am häufigsten verwendeten Azure-Dienste aktivieren. Nach der Aktivierung innerhalb der Azure-Dienstinstanz wird eine Identität in Azure Active Directory erstellt – der Dienstprinzipal für diese Dienstinstanz. 

    Die Identität ist außerdem an den Lebenszyklus der Dienstinstanz gebunden. Sie wird also automatisch entfernt, wenn die Dienstinstanz gelöscht oder außer Betrieb genommen wird. Wenn die Identität gelöscht wird, wird auch der entsprechende Dienstprinzipal in Azure AD gelöscht. 

    Vom Benutzer zugewiesene verwaltete Identitäten

    Eine weitere Möglichkeit, verwaltete Identitäten für Azure-Ressourcen zu verwenden, besteht darin, eine vom Benutzer zugewiesene verwaltete Identität separat zu erstellen und diese dann als eigenständige Azure-Ressource zuzuweisen. Das Beste an dieser Methode ist, dass Sie dieselbe verwaltete Identität mehr als einem Azure-Dienst bzw. mehr als einer Instanz eines Azure-Dienstes zuweisen können. Da die vom Benutzer zugewiesene verwaltete Identität separat erstellt wird, wird sie nicht gelöscht, wenn die mit ihr verknüpfte Azure-Ressource gelöscht oder außer Betrieb genommen wird. 

    Unterschiede zwischen vom System und vom Benutzer zugewiesenen verwalteten Identitäten

    Vom System und vom Benutzer zugewiesene Identitäten

    Vom System zugewiesen:

    • Erstellung der verwalteten Identität: wird als Teil der Azure-Ressourcenentwicklung erstellt
    • Lebenszyklus der verwalteten Identität: Lebenszyklen hängen von der Ressource ab, mit der die verwalteten Identitäten erstellt wurden, und werden beim Löschen der Ressource entfernt
    • Ressourcenzuweisung: wird an eine einzelne Azure-Dienstinstanz angehängt.
    • Anwendungsfälle: Workloads, die unabhängige Entitäten erfordern – beispielsweise eine Anwendung, die auf einer einzelnen virtuellen Maschine ausgeführt wird

    Vom Benutzer zugewiesen:

    • Erstellung der verwalteten Identität: wird als eigenständige Ressource erstellt und dann an die Dienste angehängt.
    • Lebenszyklus der verwalteten Identität: wird separat bereitgestellt, da es sich um unabhängige Azure-Ressourcen handelt.
    • Ressourcenzuweisung: kann an mehrere Azure-Dienstinstanzen angehängt werden.
    • Anwendungsfälle: nützliche Workloads, die auf mehreren Azure-Ressourcen ausgeführt werden, oder Workloads, die eine einzige Identität gemeinsam nutzen können, z. B. wenn Sitzungspersistenz erforderlich ist und mehreren virtuellen Maschinen, auf denen dieselben Anwendungen ausgeführt werden, dieselbe verwaltete Identität zugewiesen werden kann.

    Eine vollständige Liste der Azure-Dienste, die verwaltete Identitäten unterstützen, finden Sie hier.

    Ein wichtiger Punkt ist, dass eine verwaltete Identität – egal ob sie vom System oder vom Benutzer zugewiesen ist – eine besondere Art von Dienstprinzipal ist, der nur mit Azure-Ressourcen verwendet wird.

    Da sie synchronisiert sind, können sich Änderungen an einem auf das andere auswirken. Der Dienstprinzipal wird beispielsweise entfernt, wenn die entsprechende verwaltete Identität gelöscht wird.

    Drei Vorteile von verwalteten Identitäten:

    1. Verwaltete Identitäten machen das Speichern der Anmeldeinformationen im Anwendungscode überflüssig. Darüber hinaus wird die Sicherheit verbessert, da so keine Passwörter geleakt werden können. Die vom System zugewiesenen verwalteten Identitäten sind nicht einmal zugänglich.
    2. Verwaltete Identitäten können zur Authentifizierung jeder Azure-Ressource verwendet werden, die die AD-Authentifizierung unterstützt. Dazu muss lediglich der Identität mithilfe von IAM eine korrekte Rolle für die erforderliche Ressource zugewiesen werden.
    3. Für die Verwendung verwalteter Identitäten werden keine zusätzlichen Gebühren erhoben.

    Wie funktionieren verwaltete Identitäten?

    Über verwaltete Identitäten können Sie Zugriffstoken für die Ressourcen anfordern, die die Azure-AD-Authentifizierung unterstützen. 

    Zugriffstoken werden anhand der RBAC empfangen, die ihnen auf der Ressource zugewiesen ist. Sobald die Ressource den Zugriffstoken erhält, kann darauf zugegriffen werden. Das Beste daran ist, dass Azure das Rolling der Anmeldeinformationen übernimmt, die die Dienstinstanz verwendet. So werden Passwort-Leaks ausgeschlossen.

    Sieben Schritte zur Implementierung von verwalteten Azure-Identitäten:

    • Schritt 1: Anfrage wird an den Azure Resource Manager gesendet, um eine verwaltete Identität zu aktivieren (im Falle einer vom System zugewiesenen verwalteten Identität) oder zu erstellen (im Falle einer vom Benutzer zugewiesenen verwalteten Identität).
    • Schritt 2: Für vom System zugewiesen verwaltete Identitäten erstellt der Azure Resource Manager einen Dienstprinzipal für die verwaltete Identität innerhalb von AD, sobald er eine Anfrage erhält, eine verwaltete Identität auf der virtuellen Maschine zu aktivieren. Der vertrauenswürdige Azure-AD-Mandant hostet den neuen Dienstprinzipal.
      • Bei vom Benutzer zugewiesenen verwalteten Identitäten erhält der Azure Resource Manager die Anfrage, die verwaltete Identität als separate Ressource zu erstellen. Wenn die vom Benutzer zugewiesene verwaltete Identität erstellt wird, wird auch ein entsprechender Dienstprinzipal vom Resource Manager innerhalb des vertrauenswürdigen Azure-AD-Mandanten erstellt.
    • Schritt 3: Für vom System zugewiesene verwaltete Identitäten aktualisiert der Resource Manager die Identität der virtuellen Maschine über den Identitäts-Endpoint IMDS (Azure Instance Metadata Service). Diese Konfiguration stellt dem Endpoint die Dienstprinzipal-Client-ID und das Zertifikat zur Verfügung.
      • Wenn bei vom Benutzer zugewiesenen verwalteten Identitäten der Resource Manager die Anfrage zur Konfiguration der vom Benutzer zugewiesenen verwalteten Identität auf virtuellen Maschinen erhält, aktualisiert er anschließend den IMDS-Identitäts-Endpoint mit der Dienstprinzipal-Client-ID und dem Zertifikat der vom Benutzer zugewiesenen verwalteten Identität.
    • Schritt 4: Nachdem Sie den Dienstprinzipal erstellt und die Identität der virtuellen Maschine aktiviert bzw. zugewiesen haben, müssen Sie die Dienstprinzipalinformationen verwenden, um der Azure-Ressource eine geeignete RBAC zuzuweisen.
    • Schritt 5: Der auf der virtuellen Maschine ausgeführte Anwendungscode fordert einen Token vom IMDS-Endpoint an, auf den nur innerhalb der virtuellen Maschine zugegriffen werden kann. Für Token-Anfragen werden bestimmte Parameter gesendet. Das sind:
      • Ressourcenparameter: legt den Dienst fest, an den der Token zur Authentifizierung gesendet wird.
      • API-Versionsparameter: legt die IMDS-Version fest. Verwenden Sie „api-version=2018-02-01“ oder höher.
      • Client-ID-Parameter: der Dienstprinzipal für die von Token angeforderte Identität. Dies gilt nur für vom Benutzer zugewiesene verwaltete Identitäten, da nur so einer einzelnen virtuellen Maschine mehr als eine Identität zugewiesen werden kann.
    • Schritt 6: Die Zugriffstokenanfrage wird über die Client-ID und das Zertifikat an Azure AD gesendet. Azure AD gibt einen JSON-Web-Token (JWT) zurück.
    • Schritt 7: Der Code sendet jetzt den Azure-AD-Token, um auf den gewünschten Azure-Dienst zuzugreifen, sofern die Azure-AD-Authentifizierung unterstützt wird.

    Erstellung und Konfiguration verwalteter Identitäten: Demonstration

    Im Folgenden finden Sie die Schritte zum Erstellen und Konfigurieren von verwalteten Identitäten sowie zur Zuweisung von RBACs.

    1. Festlegen des Szenarios: Lab-Ziele
    2. Voraussetzungen
    3. Phase 1: Arbeit mit vom System zugewiesenen verwalteten Identitäten
    4. Phase 2: Arbeit mit vom Benutzer zugewiesenen verwalteten Identitäten

    Festlegen des Szenarios: Lab-Ziele

    Sie können entweder die vom System zugewiesene oder die vom Benutzer zugewiesene verwaltete Identität für Ihre Projekte auswählen, je nach Ihren Anforderungen und Zielen. Zu Demonstrationszwecken wurde dieses Lab jedoch in zwei verschiedene Abschnitte aufgeteilt.

    Im ersten Abschnitt aktivieren wir die vom System zugewiesene verwaltete Identität für eine virtuelle Maschine in Azure und stellen diesen Dienstprinzipal und die Rolle „Mitwirkender“ für das Speicherkonto bereit.

    Im zweiten Teil des Labs erstellen wir eine vom Benutzer zugewiesene verwaltete Identität als separate Ressource, weisen diese Identität der virtuellen Maschine zu und weisen dieser Identität im Speicherkonto eine RBAC zu.

    Voraussetzungen für das Lab

    1. Ein Azure-Abonnement ist erforderlich. Klicken Sie hier, um sich anzumelden.
    2. Ein virtuelles Netzwerk
    3. Eine virtuelle Maschine innerhalb des virtuellen Netzwerks
    4. Ein Speicherkonto für die Zuweisung der RBAC

    Phase 1: Arbeit mit vom System zugewiesenen verwalteten Identitäten

    1. Melden Sie sich beim Azure-Portal an und öffnen Sie die Seite „Virtuelle Maschinen“.

    2. Klicken Sie im Menü links unter „Einstellungen“ auf „Identität“.

    3. Sobald Sie sich auf der Identitätsseite befinden, sehen Sie zwei Registerkarten: eine für die vom System zugewiesene Benutzeridentität und eine für die vom Benutzer zugewiesene Identität.

    4. Schalten Sie auf der Registerkarte „Vom System zugewiesen“ die Statusschaltfläche auf „Ein“. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche „Speichern“.

    5. Nach einigen Sekunden wird die vom System zugewiesene verwaltete Identität bereitgestellt.

    6. Öffnen Sie nun die Speicherkontoseite und klicken Sie in der linken Navigationsleiste auf „Zugriffskontrolle (IAM)“.

    8 (bearbeitet)-2x

    7. Klicken Sie auf der Zugriffskontrollseite auf die Schaltfläche „Hinzufügen“ in der oberen Navigation und dann auf „Rollenzuweisung hinzufügen“.

    10 (bearbeitet)-2x

    8. Wählen Sie auf der Seite „Rollenzuweisung hinzufügen“ eine Rolle aus, die Sie dem erstellten Dienstprinzipal geben möchten, und klicken Sie unten auf die Schaltfläche „Weiter“.

    12 (bearbeitet)-2x-1

    9. Wählen Sie unter „Zugriff zuweisen zu“ die Option „Verwaltete Identität“ und klicken Sie auf den Link „Mitglieder auswählen“.

    13 (bearbeitet)-2x

    10. Auf der rechten Seite erscheint ein Pop-up. Wählen Sie „Virtuelle Maschine“ aus der Dropdown-Liste „Verwaltete Identität“ aus. Der neu erstellte Dienstprinzipal für die virtuelle Maschine wird zur Auswahl angezeigt.

    15 (bearbeitet)-2x

    11. Wählen Sie den korrekten Dienstprinzipal aus, der angezeigt wird, und klicken Sie auf die Schaltfläche „Auswählen“.

    16 (bearbeitet)-2x

    12. Klicken Sie nun auf die Schaltfläche „Prüfen + zuweisen“.

    13. Wenn Sie sich auf der Bestätigungsseite befinden, klicken Sie erneut auf die Schaltfläche „Prüfen + zuweisen“.

    14. Die anschließend zugewiesene Rolle wird auf der Registerkarte „Rollenzuweisungen“ angezeigt.

    19 (bearbeitet)-2x

    Phase 2: Arbeit mit vom Benutzer zugewiesenen verwalteten Identitäten

    1. Klicken Sie auf der Seite der virtuellen Maschine auf die Suchleiste und suchen Sie nach „Verwaltete Identität“.

    20 (bearbeitet)-2x

    2. Wählen Sie die erste Option für verwaltete Identitäten. Sobald Sie sich auf der Seite „Verwaltete Identitäten“ befinden, klicken Sie in der oberen Navigationsleiste auf die Schaltfläche „Erstellen“.

    21 (bearbeitet)-2x

    3. Wählen Sie auf der Seite „Vom Benutzer zugewiesene verwaltete Identität erstellen“ das Abonnement, die Ressourcengruppe und den Speicherort aus. Geben Sie abschließend der verwalteten Identität einen Namen (in diesem Fall die Identität „vmidentity“). Wenn Sie fertig sind, klicken Sie auf die Schaltfläche „Überprüfen + erstellen“.

    22 (bearbeitet)-2x

    4. Klicken Sie nach erfolgreicher Validierung auf die Schaltfläche „Erstellen“, um die verwaltete Identität bereitzustellen.

    23 (bearbeitet)-2x

    5. Gehen Sie zurück zur Seite „Virtuelle Maschine“ und klicken Sie unter „Einstellungen“ auf „Identität“. Klicken Sie auf der Seite „Identität“ auf die vom Benutzer zugewiesene Registerkarte.

    24 (bearbeitet)-2x

    6. Klicken Sie auf der vom Benutzer zugewiesenen Registerkarte in der oberen Navigationsleiste auf „Hinzufügen“. Auf der rechten Seite erscheint ein Pop-up. Wählen Sie die neu erstellte verwaltete Identität (hier die Identität „vmidentity“) aus und klicken Sie auf „Hinzufügen“.

    25 (bearbeitet)-2x

    7. Die Identität erscheint nun auf der Seite „Vom Benutzer zugewiesene verwaltete Identität“.

    8. Gehen Sie nun zurück zum Speicherkonto und klicken Sie auf „Zugriffskontrolle (IAM)“. Klicken Sie auf der Seite „Zugriffssteuerung“ in der oberen Navigationsleiste auf „Hinzufügen“ und wählen Sie „Rollenzuweisung hinzufügen“.

    26 (bearbeitet)-2x

    9. Weisen Sie auf der Seite „Rollenzuweisung hinzufügen“ die Rolle zur vom Benutzer zugewiesenen verwalteten Identität zu, die soeben erstellt wurde.

    28 (bearbeitet)-2x

    10. Wählen Sie „Verwaltete Identität“ under „Zugriff zuweisen zu“ aus und klicken Sie dann auf „Mitglieder auswählen“. Ein Pop-up wird auf der rechten Seite angezeigt. Wählen Sie die neu erstellte, vom Benutzer zugewiesene verwaltete Identität aus und klicken Sie auf die Schaltfläche „Auswählen“.

    27 (bearbeitet)-2x

    11. Klicken Sie nun auf der Hauptseite auf die Schaltfläche „Überprüfen + zuweisen“. Klicken Sie nach der Validierung erneut auf die Schaltfläche „Überprüfen + zuweisen“.

    29 (bearbeitet)-2x

    12. Nach einigen Sekunden wird die vom Benutzer zugewiesene verwaltete Identität für das Speicherkonto bereitgestellt.

    30 (bearbeitet)-2x

    Nachdem Sie den verwalteten Identitäten nun eine Rolle im Speicherkonto zugewiesen haben, können Sie über die virtuelle Maschine auf die Speicherressourcen zugreifen.

    FAZIT

    Verwaltete Identitäten sind nützlich, weil darüber die Workload-Identitäten, die sich bei Azure Active Directory authentifizieren, automatisch verwaltet werden. So erhalten Anwendungen Token von Azure AD, ohne dass die Anmeldeinformationen und Geheimnisse im Code der Anwendung gespeichert werden müssen. Sie können diesen Identitäten Rollen innerhalb anderer Ressourcen zuweisen, die die Azure-AD-Authentifizierung für den Zugriff auf die Ressource unterstützen. Für Entwickler und Administratoren entfällt dadurch die manuelle Verwaltung der Anmeldeinformationen innerhalb des Anwendungscodes oder der Workloads, und dadurch werden die Möglichkeiten für Leaks von Sicherheitsdaten oder Passwörtern deutlich reduziert.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Neeraj Kumar
    Neeraj Kumar

    Neeraj ist ein Azure-Enthusiast, Enterprise Architect und Technical Program Manager. Mit 21 Jahren IT-Erfahrung leitet Neeraj High-End-Programme, die sich auf digitale und Cloud-Dienste konzentrieren, indem er Lösungen für Azure Cognitive Services, Data Science, IoT, Cloud-Migrationen usw. entwirft und gestaltet, um den ROI zu maximieren. Neeraj ist ein zertifizierter Azure-Architekt und -Administrator und verfasst mit Leidenschaft praxisnahe Problemlösungskurse zu Azure, um Unternehmen und Lernenden bei ihren Cloud-Bestrebungen zu helfen.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    verwaltete-azure-identitäten:-definition,-typen,-vorteile-+-demonstration
    Verwaltete Azure-Identitäten: Definition, Typen, Vorteile + Demonstration
    verwaltete-azure-identitäten:-definition,-typen,-vorteile-+-demonstration
    Neeraj Kumar
    24. Oktober 2022
    In diesem Leitfaden erfahren Sie mehr über verwaltete Azure-Identitäten: Was das ist, wie viele Typen es gibt, welche Vorteile sie bieten und wie sie funktionieren.
    12-best-practices-für-gruppenrichtlinien:-einstellungen-und-tipps-für-administratoren
    12 Best Practices für Gruppenrichtlinien: Einstellungen und Tipps für Administratoren
    12-best-practices-für-gruppenrichtlinien:-einstellungen-und-tipps-für-administratoren
    Jeff Brown
    12. Mai 2022
    Die Gruppenrichtlinie konfiguriert Einstellungen, Verhalten und Berechtigungen für Benutzer und Computer. In diesem Artikel erfahren Sie mehr über Best Practices für die Arbeit mit Gruppenrichtlinien.
    wie-finde-ich-heraus,-in-welchen-active-directory-gruppen-ich-mitglied-bin?
    Wie finde ich heraus, in welchen Active Directory-Gruppen ich Mitglied bin?
    wie-finde-ich-heraus,-in-welchen-active-directory-gruppen-ich-mitglied-bin?
    Michael Buckbee
    7. April 2022
    Die Fähigkeit, aktuelle Benutzerlisten und -gruppen zu verwalten und zu pflegen, ist entscheidend für die Sicherheit eines Unternehmens. Es gibt eine Reihe verschiedener Möglichkeiten, um festzustellen, zu welchen Gruppen ...
    azure-devops-verstehen-und-eine-ci/cd-pipeline-aufbauen
    Azure DevOps verstehen und eine CI/CD-Pipeline aufbauen
    azure-devops-verstehen-und-eine-ci/cd-pipeline-aufbauen
    Neeraj Kumar
    10. Oktober 2021
    Möchten Sie mehr über das Tool erfahren, mit dem sich der gesamte Softwareentwicklungs-Lebenszyklus automatisieren und verwalten lässt? Nun, Azure DevOps ist die Lösung für Sie. Aber bevor wir tiefer darauf...