Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Un desafío común para los desarrolladores es la administración de secretos, credenciales, certificados, claves, etc. que se usan para proteger la comunicación entre servicios. El control manual de secretos y certificados es un origen conocido de problemas de seguridad y interrupciones. Las identidades administradas eliminan la necesidad de administrar las credenciales para los desarrolladores. Las aplicaciones pueden usar identidades administradas para obtener tokens de Microsoft Entra sin necesidad de administrar credenciales.
¿Qué son las identidades administradas?
A nivel general, hay dos tipos de identidades: humanas y de máquina/no humanas. Las identidades de máquina o no humanas constan de identidades de dispositivo y carga de trabajo. En Microsoft Entra, las identidades de carga de trabajo son aplicaciones, entidades de servicio e identidades administradas. Para más información sobre las identidades de carga de trabajo, consulte identidades de carga de trabajo.
Una identidad administrada es una identidad que se puede asignar a un recurso de proceso de Azure (máquina virtual), un conjunto de escalado de máquinas virtuales (VMSS), un clúster de Service Fabric, un clúster de Azure Kubernetes o cualquier plataforma de hospedaje de aplicaciones compatible con Azure. Una vez que se asigna una identidad administrada en el recurso de computación, se puede autorizar, directa o indirectamente, para acceder a los recursos dependientes posteriores, como una cuenta de almacenamiento, una base de datos SQL, CosmosDB, etc. La identidad administrada reemplaza los secretos, como las claves de acceso o las contraseñas. Además, las identidades administradas pueden reemplazar certificados u otras formas de autenticación para las dependencias de servicio a servicio.
En el vídeo siguiente se muestra cómo puede usar identidades administradas:
Estas son algunas de las ventajas de usar las identidades administradas:
- No es necesario administrar credenciales. Las credenciales ni siquiera están accesibles.
- Puede usar identidades administradas para autenticarse en cualquier recurso que admita la autenticación de Microsoft Entra, incluidas sus propias aplicaciones.
- Las identidades administradas se pueden usar sin costes adicionales.
Tipos de identidad administrada
Hay dos tipos de identidades administradas:
Asignada por el sistema. Algunos recursos de Azure, como las máquinas virtuales, permiten habilitar una identidad administrada directamente en el recurso. Cuando habilita una identidad administrada asignada por el sistema:
- Se crea una entidad de servicio de un tipo especial en Microsoft Entra ID para la identidad. La entidad de servicio está vinculada al ciclo de vida de ese recurso de Azure. Cuando se elimina el recurso de Azure, Azure elimina automáticamente la entidad de servicio.
- Por diseño, solo ese recurso de Azure puede usar esta identidad para solicitar tokens de Microsoft Entra ID.
- Autoriza a la identidad administrada a tener acceso a uno o varios servicios.
- El nombre de la entidad de servicio asignada por el sistema siempre es el mismo que el nombre del recurso de Azure para el que se crea. En el caso de una ranura de implementación, el nombre de su identidad asignada por el sistema es
<app-name>/slots/<slot-name>
.
Asignada por el usuario. También es posible crear una identidad administrada como un recurso independiente de Azure. Puede crear una identidad administrada asignada por el usuario y asignársela a uno o varios recursos de Azure. Cuando habilita una identidad administrada asignada por el usuario:
- Se crea una entidad de servicio de un tipo especial en Microsoft Entra ID para la identidad. La entidad de servicio se administra independientemente de los recursos que lo usan.
- Las identidades asignadas por el usuario se pueden usar en varios recursos.
- Autoriza a la identidad administrada a tener acceso a uno o varios servicios.
Las identidades asignadas por el usuario, que se aprovisionan independientemente del proceso y se pueden asignar a varios recursos de proceso, son el tipo de identidad administrada recomendado para los servicios de Microsoft.
Los recursos que admiten identidades administradas asignadas por el sistema le permiten:
- Habilitar o deshabilitar las identidades administradas en el nivel de recurso.
- Usar el control de acceso basado en rol (RBAC) para conceder permisos.
- Ver las operaciones de creación, lectura, actualización y eliminación (CRUD) en los registros de actividad de Azure.
- Vea la actividad de inicio de sesión en los registros de inicio de sesión de Microsoft Entra ID.
Si en su lugar elige una identidad administrada asignada por el usuario:
- Puede crear, leer, actualizar y eliminar las identidades.
- Puede usar asignaciones de roles de RBAC para conceder permisos.
- Las identidades administradas asignadas por el usuario se pueden usar en más de un recurso.
- Las operaciones CRUD están disponibles para su revisión en los registros de actividad de Azure.
- Vea la actividad de inicio de sesión en los registros de inicio de sesión de Microsoft Entra ID.
Las operaciones sobre identidades administradas se pueden realizar mediante una plantilla de Azure Resource Manager, Azure Portal, la CLI de Azure, PowerShell y las API REST.
Diferencias entre las identidades administradas asignadas por el sistema y las asignadas por el usuario
Propiedad | Identidad administrada asignada por el sistema | Identidad administrada asignada por el usuario |
---|---|---|
Creación | Se crea como parte de un recurso de Azure (por ejemplo, Azure Virtual Machines o Azure App Service). | Se crea como un recurso de Azure independiente. |
Ciclo de vida | Se comparte el ciclo de vida con el recurso de Azure con el que se creó la identidad administrada. Si se elimina el recurso primario, se elimina también la identidad administrada. |
Ciclo de vida independiente. Se debe eliminar explícitamente. |
Uso compartido de recursos de Azure | No se puede compartir. Solo se puede asociar con un único recurso de Azure. |
Se puede compartir. La misma identidad administrada asignada por el usuario se puede asociar con más de un recurso de Azure. |
Casos de uso comunes | Cargas de trabajo que contiene un único recurso de Azure. Cargas de trabajo que necesitan identidades independientes. Por ejemplo, una aplicación que se ejecuta en una sola máquina virtual. |
Cargas de trabajo que se ejecutan en múltiples recursos y pueden compartir una única identidad. Cargas de trabajo que necesitan autorización previa a un recurso seguro, como parte de un flujo de aprovisionamiento. Cargas de trabajo donde los recursos se reciclan con frecuencia, pero los permisos deben permanecer coherentes. Por ejemplo, una carga de trabajo en la que varias máquinas virtuales tienen que acceder al mismo recurso. |
¿Cómo se usan las identidades administradas de Managed Identities for Azure Resources?
Siga los pasos siguientes para usar identidades administradas:
- Cree una identidad administrada en Azure. Puede elegir entre la identidad administrada asignada por el sistema o por el usuario.
- Cuando use una identidad administrada que haya asignado el usuario, asigne la identidad administrada a Azure Resource "de origen", como una máquina virtual, Azure Logic App o Azure Web App.
- Autorice el acceso al servicio de "destino" para la identidad administrada.
- Use la identidad administrada para acceder a un recurso. Para ello, puede usar el SDK de Azure con la biblioteca de Azure.Identity. Algunos recursos de "origen" ofrecen conectores que saben usar identidades administradas para las conexiones. En ese caso, usará la identidad como si esta fuera una característica de ese recurso de "origen".
¿Qué servicios de Azure admiten la característica?
Las identidades administradas para recursos de Azure se pueden usar para autenticarse en servicios que admiten la autenticación de Microsoft Entra. Para ver una lista de identidades administradas, consulte Servicios que admiten identidades administradas para recursos de Azure.
Trabajar con identidades administradas
Las identidades administradas pueden utilizarse directamente o como credencial de identidad federada para aplicaciones de Microsoft Entra ID.
Los pasos implicados en el uso de identidades administradas son los siguientes:
- Cree una identidad administrada en Azure. Puede elegir entre la identidad administrada asignada por el sistema o por el usuario. Cuando se usa una identidad administrada asignada por el usuario, se asigna la identidad administrada al recurso de Azure de origen, como una máquina virtual, una aplicación lógica de Azure o una aplicación web de Azure.
- Autorice a la identidad administrada para que tenga acceso al servicio de destino.
- Use la identidad administrada para acceder a un recurso. En este paso, puede usar cualquiera de las bibliotecas cliente. Algunos recursos de origen ofrecen conectores que saben cómo usar identidades administradas para las conexiones. En ese caso, se usa la identidad como característica de ese recurso de origen.
Utilizar identidad administrada directamente
El código de servicio que se ejecuta en el recurso de proceso de Azure usa la Biblioteca de autenticación de Microsoft (MSAL) o el SDK de Azure.Identity para recuperar un token de identidad administrada de Entra ID respaldado por la identidad administrada. Esta adquisición de tokens no requiere ningún secreto y se autentica automáticamente en función del entorno en el que se ejecuta el código. Siempre que se autorice la identidad administrada, el código de servicio puede acceder a las dependencias de bajada que admiten la autenticación de Entra ID.
Por ejemplo, puede usar una máquina virtual (VM) de Azure como Azure Compute. Después, puede crear una identidad administrada asignada por el usuario y asignarla a la máquina virtual. La carga de trabajo que se ejecuta en las interfaces de VM interactúa con el SDK del cliente de Azure.Identity (o MSAL) y Azure Storage para poder acceder a la cuenta de almacenamiento. La identidad administrada asignada por el usuario está autorizada para acceder a la cuenta de almacenamiento.
Utilizar la identidad administrada como Credencial de Identidad Federada (FIC) en una aplicación de Entra ID
La federación de identidades de carga de trabajo permite usar una identidad administrada como credencial, al igual que el certificado o la contraseña, en las aplicaciones entra ID. Siempre que se requiera una aplicación de Entra ID, esta es la manera recomendada de estar sin necesidad de credenciales. Hay un límite de 20 FIC al usar identidades administradas como FIC en una aplicación de Entra ID.
Una carga de trabajo que funciona como aplicación de Entra ID se puede hospedar en cualquier computación de Azure que tenga una identidad administrada. La carga de trabajo utiliza la identidad administrada para adquirir un token que se intercambiará por un token de aplicación de Entra ID, a través de la federación de identidades de carga de trabajo. Esta característica también se conoce como identidad administrada como FIC (credenciales de identidad federada). Para más información, consulte Configuración de una aplicación para confiar en una identidad administrada.
Pasos siguientes
- Introducción e instrucciones para desarrolladores
- Uso de las identidades administradas asignadas por el sistema de una máquina virtual para acceder a Resource Manager
- Cómo usar identidades administradas para App Service y Azure Functions
- Cómo utilizar identidades administradas con Azure Container Instances
- Implementación de identidades administradas para recursos de Microsoft Azure
- Use la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos