Autenticazione nell'insieme di credenziali con le identità gestite per le risorse di Azure

Completato

Azure Key Vault usa Microsoft Entra ID per autenticare utenti e app che cercano di accedere a un insieme di credenziali. Per concedere alle app Web l'accesso all'insieme di credenziali, è prima di tutto necessario registrare l'app in Microsoft Entra ID. La registrazione consente di creare un'identità per l'app. Dopo che l'app ha ottenuto un'identità, è possibile assegnare le autorizzazioni dell'insieme di credenziali.

Le app e gli utenti eseguono l'autenticazione in Key Vault utilizzando un token di autenticazione di Microsoft Entra. Per ottenere un token da Microsoft Entra ID è necessario un segreto o un certificato. Chiunque con un token potrebbe usare l'identità dell'app per accedere a tutti i segreti nell'insieme di credenziali.

I segreti dell'app sono sicuri nell'insieme di credenziali, ma è comunque necessario mantenere un segreto o un certificato all'esterno dell'insieme di credenziali per potervi accedere. Per questo problema, definito problema di bootstrap, Azure offre una soluzione.

Identità gestite per le risorse di Azure

Identità gestite per le risorse di Azure è una funzionalità di Azure che l'app può usare per accedere a Key Vault e ad altri servizi di Azure senza dover gestire alcun segreto all'esterno dell'insieme di credenziali. L'uso di un'identità gestita è un modo semplice e sicuro per sfruttare i vantaggi di Key Vault dall'app Web.

Quando si abilita l'identità gestita nell'app Web, Azure attiva un servizio REST separato per la concessione di token appositamente per l'app. L'app richiede i token a questo servizio anziché direttamente a Microsoft Entra ID. Per accedere a questo servizio, l'app deve usare un segreto, che però viene inserito nelle variabili di ambiente dell'app dal servizio app all'avvio. Non è necessario gestire o archiviare questo valore segreto da qualche parte e nulla all'esterno dell'app può accedere a questo segreto o all'endpoint servizio token dell'identità gestita.

Identità gestite per le risorse di Azure registra anche l'app in Microsoft Entra ID per l'utente. Microsoft Entra ID elimina la registrazione se si elimina l'app Web o si disabilita la sua identità gestita.

Le identità gestite sono disponibili in tutte le edizioni di Microsoft Entra ID, inclusa la versione gratuita fornita con la sottoscrizione di Azure. L'uso di questa funzionalità nel Servizio app non prevede costi aggiuntivi, non richiede alcuna configurazione e può essere abilitata o disabilitata in un'app in qualsiasi momento.

Per abilitare un'identità gestita per un'app Web è necessario solo un singolo comando dell'interfaccia della riga di comando di Azure senza alcuna configurazione. Questa procedura verrà effettuata più avanti durante la configurazione di un'app del servizio app e la successiva distribuzione in Azure. Prima però sarà necessario applicare le conoscenze relative alle identità gestite per scrivere il codice per l'app.

Verificare le conoscenze

1.

In che modo l'uso delle identità gestite per le risorse di Azure può modificare il modo in cui un'app esegue l'autenticazione in Azure Key Vault?

2.

Quali di queste affermazioni descrive uno dei vantaggi principali dell'uso delle identità gestite per autenticare un'app in Key Vault?