Configuración de una aplicación para confiar en una identidad administrada

2025-06-09

En este artículo se describe cómo configurar una aplicación de Microsoft Entra para confiar en una identidad administrada. A continuación, puede intercambiar el token de identidad administrada para un token de acceso que pueda acceder a los recursos protegidos de Microsoft Entra sin necesidad de usar ni administrar secretos de aplicación.

Requisitos previos

Una cuenta de Azure con una suscripción activa. Crear una cuenta gratuita.
Esta cuenta de Azure debe tener permisos para actualizar las credenciales de la aplicación. Cualquiera de los siguientes roles de Microsoft Entra incluye los permisos necesarios:
Descripción de los conceptos de identidades administradas para recursos de Azure.
una identidad administrada asignada por el usuario asignada al recurso de proceso de Azure (por ejemplo, una máquina virtual o Azure App Service) que hospeda la carga de trabajo.
Un Registro de una aplicación en Microsoft Entra ID. Este registro de aplicación debe pertenecer al mismo inquilino que la identidad administrada
- Si necesita acceder a los recursos de otra entidad, el registro de la aplicación debe ser una aplicación multicliente y aprovisionada en la otra entidad. Obtenga información sobre cómo agregar una aplicación multiusuario en otros entornos.
El registro de la aplicación debe tener acceso concedido a los recursos protegidos de Microsoft Entra (por ejemplo, Azure, Microsoft Graph, Microsoft 365, etc.). Este acceso se puede conceder a través de permisos de API o permisos delegados .

Consideraciones y restricciones importantes

Para crear, actualizar o eliminar una credencial de identidad federada, la cuenta que realiza la acción debe tener el rol Administrador de aplicaciones, Desarrollador de aplicaciones, Administrador de aplicaciones en la nube, o Propietario de la aplicación. El permiso microsoft.directory/applications/credentials/update es necesario para actualizar una credencial de identidad federada.

Se pueden agregar un máximo de 20 credenciales de identidad federada a una aplicación o a una identidad administrada asignada por el usuario.

Al configurar una credencial de identidad federada se debe proporcionar cierta información importante:

issuer, subject son los elementos clave de la información necesaria para configurar la relación de confianza. Cuando la carga de trabajo de Azure solicita a la plataforma de identidad de Microsoft que intercambie el token de identidad administrada por un token de acceso de la aplicación Entra, los valores del emisor y del asunto de la credencial de identidad federada se comprueban contra las notificaciones issuer y subject proporcionadas en el token de identidad administrada. Si se supera esa comprobación de validación, la plataforma de identidad de Microsoft emite un token de acceso a la carga de trabajo de software externo.
issuer es la dirección URL de la URL de autoridad del inquilino de Microsoft Entra con el formato https://login.microsoftonline.com/{tenant}/v2.0. Tanto la aplicación Microsoft Entra como la identidad administrada deben pertenecer al mismo inquilino. Si la reclamación issuer tiene espacios en blanco iniciales o finales en el valor, se bloquea el intercambio de tokens.
subject: Este es el GUID sensible a mayúsculas y minúsculas del ID de objeto (entidad de seguridad) de la identidad administrada asignada a la carga de trabajo de Azure. La identidad administrada debe estar en el mismo inquilino que el registro de la aplicación, incluso si el recurso de destino está en una nube diferente. La plataforma de identidad de Microsoft rechazará el intercambio de tokens si la configuración de credenciales de identidad federada subject no coincide exactamente con el Principal ID de la identidad administrada.

Importante

Solo las identidades administradas asignadas por el usuario se pueden usar como credenciales federadas para las aplicaciones. No se admiten identidades asignadas por el sistema.
audiencies especifica el valor que aparece en la declaración aud en el token de identidad administrada (obligatorio). El valor debe ser uno de los siguientes en función de la nube de destino.
- Microsoft Entra China (servicio global): api://AzureADTokenExchange
- Microsoft Entra ID para el Gobierno de EE.UU.: api://AzureADTokenExchangeUSGov
- Microsoft Entra China operado por 21Vianet: api://AzureADTokenExchangeChina
Importante

Se admite el acceso a los recursos de otro inquilino. No se admite el acceso a recursos en otra nube . Se producirá un error en las solicitudes de token a otras nubes.

Importante

Si agrega accidentalmente la información en la configuración del issuer, subject o audience, la credencial de identidad federada se crea correctamente sin errores. El error no se vuelve evidente hasta que se produce un error en el intercambio de tokens.
nombre es el identificador único para la credencial de identidad federada. (Obligatorio) Este campo tiene un límite de 3 a 120 caracteres y debe ser compatible con URL. Se admiten caracteres alfanuméricos, guiones o caracteres de subrayado; y el primer carácter solo debe ser alfanumérico. Es inmutable una vez creado.
descripción es la descripción proporcionada por el usuario de la credencial de identidad federada (opcional). Microsoft Entra ID no valida ni comprueba la descripción. Este campo tiene un límite de 600 caracteres.

Los caracteres comodín no se admiten en ningún valor de propiedad de credencial de identidad federada.

Configuración de una credencial de identidad federada en una aplicación

En esta sección, configurará una credencial de identidad federada en una aplicación existente para confiar en una identidad administrada. Use las pestañas siguientes para elegir cómo configurar una credencial de identidad federada en una aplicación existente.

Inicie sesión en el Centro de administración de Microsoft Entra. Compruebe que está en el inquilino donde está registrada la aplicación.
Vaya a Entra ID>Registros de aplicaciones y seleccione su aplicación en la ventana principal.
En Administrar, seleccione Certificados y secretos.
Seleccione la pestaña Credenciales federadas y seleccione Agregar credenciales.

En la lista desplegable Escenario de credenciales federadas , seleccione Identidad administrada y rellene los valores según la tabla siguiente:

Campo	Descripción	Ejemplo
Emisor	La URL del emisor de OAuth 2.0 / OIDC, de la autoridad de Microsoft Entra ID que emite el token de identidad administrada. Este valor se rellena automáticamente con el emisor actual del inquilino de Entra.	`https://login.microsoftonline.com/{tenantID}/v2.0`
Selección de la identidad administrada	Haga clic en este vínculo para seleccionar la identidad administrada que actuará como credencial de identidad federada. Solo puede usar User-Assigned Identidades Administradas como credencial.	msi-webapp1
Descripción (opcional)	Descripción proporcionada por el usuario de la credencial de identidad federada.	Confiar en las cargas de trabajo UAMI como una credencial para mi aplicación
Público	Valor de audiencia que debe aparecer en el token externo.	Debe establecerse en uno de los siguientes valores: • Servicio Global de Entra ID: api://AzureADTokenExchange • ID de Entra para el Gobierno deEE. UU.: api://AzureADTokenExchangeUSGov • Entra ID China operado por 21Vianet: api://AzureADTokenExchangeChina

Captura de pantalla de la ventana de credenciales en el Centro de administración de Microsoft Entra.

Abra un terminal en el IDE preferido y ejecute el siguiente comando para crear una credencial de identidad federada en la aplicación.

az ad app federated-credential create --id 00001111-aaaa-2222-bbbb-3333cccc4444 --parameters credential.json

El id parámetro especifica el identificador de aplicación (id. de objeto). El parameters parámetro especifica la configuración de credenciales de identidad federada, en formato JSON.

Este es un ejemplo para el contenido de credential.json. Sustituye el subject GUID por el identificador de objeto (principal) de la identidad administrada y {tenantID} por el identificador de tenant de la aplicación. El valor de audiencia debe establecerse en uno de los siguientes valores:
• Servicio Global de Entra ID: api://AzureADTokenExchange
• ID de Entra para el Gobierno deEE. UU.: api://AzureADTokenExchangeUSGov
• Entra ID China operado por 21Vianet: api://AzureADTokenExchangeChina

{
    "name": "msi-webapp1",
    "issuer": "https://login.microsoftonline.com/{tenantID}/v2.0",
    "subject": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "description": "Trust the workload's UAMI to impersonate the App",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Abra un terminal de PowerShell en el IDE preferido y ejecute el siguiente comando para crear una credencial de identidad federada en la aplicación. Sustituye el Subject GUID por el identificador de objeto (principal) de la identidad administrada y {tenantID} por el identificador de tenant de la aplicación.

El valor de audiencia debe establecerse en uno de los siguientes valores:
• Servicio Global de Entra ID: api://AzureADTokenExchange
• ID de Entra para el Gobierno deEE. UU.: api://AzureADTokenExchangeUSGov
• Entra ID China operado por 21Vianet: api://AzureADTokenExchangeChina

New-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -Audience api://AzureADTokenExchange -Issuer 'https://login.microsoftonline.com/{tenantID}/v2.0' -Name 'MyMsiFic' -Subject '00001111-aaaa-2222-bbbb-3333cccc4444'

Abra un terminal en el IDE preferido y ejecute el siguiente comando para crear una credencial de identidad federada en la aplicación. Establezca el valor de subject en el ID de objeto (principal) de la identidad administrada y {tenantID} con el ID del inquilino de la aplicación.

az rest --method POST --uri 'https://graph.microsoft.com/applications/{app_registration_id}/federatedIdentityCredentials' --body '{"name":"MyMsiFicTest","issuer":"https://login.microsoftonline.com/{tenantID}/v2.0","subject":"{Managed_Identity_Principal_ID}","description":"Trust the workloads UAMI to impersonate the App","audiences":["api://AzureADTokenExchange"]}'

En este ejemplo se muestra cómo usar Bicep para crear un FIC para que la aplicación confíe en la identidad administrada asignada. Reemplace los marcadores de posición por los valores devueltos adecuados.

extension 'br:mcr.microsoft.com/bicep/extensions/microsoftgraph/v1.0:0.1.8-preview'

param myWorkloadManagedIdentity string = '[MANAGED-IDENTITY-NAME]'
param applicationDisplayName string = '[APPLICATION-DISPLAYNAME]'
param applicationName string = '[APPLICATION-UNIQUE-NAME]'

resource myManagedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2023-01-31' existing = {
  name: myWorkloadManagedIdentity
}

resource myApp 'Microsoft.Graph/applications@v1.0' = {
  displayName: applicationDisplayName
  uniqueName: applicationName

  resource myMsiFic 'federatedIdentityCredentials@v1.0' = {
    name: '${myApp.uniqueName}/msiAsFic'
    description: 'Trust the workloads UAMI to impersonate the App'
    audiences: [
       'api://AzureADTokenExchange'
    ]
    issuer: '${environment().authentication.loginEndpoint}${tenant().tenantId}/v2.0'
    subject: myManagedIdentity.properties.principalId
  }
}

Actualización del código de la aplicación para solicitar un token de acceso

Los fragmentos de código siguientes muestran cómo adquirir un token de identidad administrada y usarlo como credencial para la aplicación Entra. Los ejemplos son válidos en ambos casos donde el recurso de destino está en el mismo inquilino que la aplicación Entra, o en un inquilino diferente.

Bibliotecas cliente de Azure Identity

Los ejemplos de código siguientes muestran el acceso a un secreto de Azure Key Vault, pero se pueden adaptar para acceder a cualquier recurso protegido por Microsoft Entra.

using Azure.Core;
using Azure.Identity;
using Azure.Security.KeyVault.Secrets;

// Audience value must be one of the below values depending on the target cloud:
// - Entra ID Global cloud: api://AzureADTokenExchange
// - Entra ID US Government: api://AzureADTokenExchangeUSGov
// - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
string miAudience = "api://AzureADTokenExchange";

// Create an assertion with the managed identity access token, so that it can be
// exchanged for an app token. Client ID is passed here. Alternatively, either
// object ID or resource ID can be passed.
ManagedIdentityCredential miCredential = new(
    ManagedIdentityId.FromUserAssignedClientId("<YOUR_MI_CLIENT_ID>"));
TokenRequestContext tokenRequestContext = new([$"{miAudience}/.default"]);
ClientAssertionCredential clientAssertionCredential = new(
    "<YOUR_RESOURCE_TENANT_ID>",
    "<YOUR_APP_CLIENT_ID>",
    async _ =>
        (await miCredential
            .GetTokenAsync(tokenRequestContext)
            .ConfigureAwait(false)).Token
);

// Create a new SecretClient using the assertion
SecretClient client = new(
    new Uri("https://testfickv.vault.azure.net/"), 
    clientAssertionCredential);

// Retrieve the secret
KeyVaultSecret secret = client.GetSecret("<SECRET_NAME>");

package main

import (
  "context"
  "log"

  "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
  "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
  "github.com/Azure/azure-sdk-for-go/sdk/security/keyvault/azsecrets"
)

func main() {
  // Audience value must be one of the below values depending on the target cloud:
  // - Entra ID Global cloud: api://AzureADTokenExchange
  // - Entra ID US Government: api://AzureADTokenExchangeUSGov
  // - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
  azScopes := []string{"api://AzureADTokenExchange/.default"}

  // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
  mic, err := azidentity.NewManagedIdentityCredential(
    &azidentity.ManagedIdentityCredentialOptions{
      ID: azidentity.ClientID("<YOUR_MI_CLIENT_ID>"),
    },
  )
  if err != nil {
    log.Fatal("error constructing managed identity credential: ", err)
  }

  getAssertion := func(ctx context.Context) (string, error) {
    tk, err := mic.GetToken(ctx, policy.TokenRequestOptions{Scopes: azScopes})
    return tk.Token, err
  }
  cred, err := azidentity.NewClientAssertionCredential("<YOUR_TENANT_ID>", "<YOUR_APP_CLIENT_ID>", getAssertion, nil)
  if err != nil {
    log.Fatal("error constructing client assertion credential: ", err)
  }

  client := azsecrets.NewClient("https://testfickv.vault.azure.net", cred, nil)
	resp, err := client.GetSecret(context.TODO(), "<SECRET_NAME>", "", nil)
	if err != nil {
		// TODO: handle error
	}
}

import com.azure.core.credential.TokenRequestContext;
import com.azure.core.credential.*;
import com.azure.identity.*;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import com.azure.security.keyvault.secrets.models.KeyVaultSecret;

import reactor.core.publisher.Mono;

public class KeyVaultFIC {
  // Audience value must be one of the below values depending on the target cloud:
  // - Entra ID Global cloud: api://AzureADTokenExchange
  // - Entra ID US Government: api://AzureADTokenExchangeUSGov
  // - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
  private static final String MI_AUDIENCE = "api://AzureADTokenExchange";

  public static void main(String[] args) throws Exception {
    ClientAssertionCredential clientAssertionCredential = new ClientAssertionCredentialBuilder()
        .tenantId("<YOUR_TENANT_ID>")
        .clientId("<YOUR_APP_CLIENT_ID>")
        .clientAssertion(() -> getTokenUsingManagedIdentity(MI_AUDIENCE).block())
        .build();

    SecretClient secretClient = new SecretClientBuilder()
        .vaultUrl("https://testfickv.vault.azure.net")
        .credential(clientAssertionCredential)
        .buildClient();

    KeyVaultSecret secret = secretClient.getSecret("<SECRET_NAME>");
  }

  private static Mono<String> getTokenUsingManagedIdentity(String audience) {
    // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
    ManagedIdentityCredential managedIdentityCredential = new ManagedIdentityCredentialBuilder()
        .clientId("<YOUR_MI_CLIENT_ID>")
        .build();
    TokenRequestContext requestContext = new TokenRequestContext()
        .addScopes(audience + "/.default");

    return managedIdentityCredential
        .getToken(requestContext)
        .map(accessToken -> accessToken.getToken());
  }
}

import { ManagedIdentityCredential, ClientAssertionCredential, TokenCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";

// Audience value must be one of the below values depending on the target cloud:
// - Entra ID Global cloud: api://AzureADTokenExchange
// - Entra ID US Government: api://AzureADTokenExchangeUSGov
// - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
const MI_AUDIENCE: string = "api://AzureADTokenExchange";

async function getAccessToken(credential: TokenCredential, audience: string[]): Promise<string> {
    const accessToken = await credential.getToken(audience);
    const token = accessToken?.token;
    if (!token)
        throw new Error(`Failed to obtain valid access token, received ${token}`);
    return token;
}

const main = async () => {
    // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
    const managedIdentityCredential = new ManagedIdentityCredential(
    {
        clientId: "<YOUR_MI_CLIENT_ID>"
    });
    const clientAssertionCredential = new ClientAssertionCredential(
        "<YOUR_TENANT_ID>",
        "<YOUR_APP_CLIENT_ID>",
        () => getAccessToken(managedIdentityCredential, [`${MI_AUDIENCE}/.default`]));
    const client = new SecretClient("https://testfickv.vault.azure.net", clientAssertionCredential);

    try {
        const secret = await client.getSecret("<SECRET_NAME>");
        console.log("Found the secret from Key Vault");
    } catch (error) {
        console.error("Failed to retrieve secret:", error);
        throw error;
    }
};

main();

from azure.identity import ManagedIdentityCredential, ClientAssertionCredential
from azure.keyvault.secrets import SecretClient

# Audience value must be one of the below values depending on the target cloud:
# - Entra ID Global cloud: api://AzureADTokenExchange
# - Entra ID US Government: api://AzureADTokenExchangeUSGov
# - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
MI_AUDIENCE = "api://AzureADTokenExchange"

def get_managed_identity_token(credential, audience):
    return credential.get_token(audience).token

# Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
managed_identity_credential = ManagedIdentityCredential(client_id="<YOUR_MI_CLIENT_ID>")

client_assertion_credential = ClientAssertionCredential(
    "<YOUR_RESOURCE_TENANT_ID>",
    "<YOUR_APP_CLIENT_ID>",
    lambda: get_managed_identity_token(managed_identity_credential, f"{MI_AUDIENCE}/.default"))

client = SecretClient(
    vault_url="https://testfickv.vault.azure.net",
    credential=client_assertion_credential)
retrieved_secret = client.get_secret("<SECRET_NAME>")

Microsoft.Identity.Web

En Microsoft.Identity.Web, puede establecer la sección ClientCredentials en su appsettings.json para usar SignedAssertionFromManagedIdentity y habilitar su código que utiliza la identidad administrada configurada como credencial.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "YOUR_APPLICATION_ID",
    "TenantId": "YOUR_TENANT_ID",
    
    "ClientCredentials": [
      {
        "SourceType": "SignedAssertionFromManagedIdentity",
        "ManagedIdentityClientId": "YOUR_USER_ASSIGNED_MANAGED_IDENTITY_CLIENT_ID",
        "TokenExchangeUrl": "api://AzureADTokenExchange/.default"
      }
    ]
  }
}

MSAL (.NET)

En MSAL, puede usar la clase ManagedClientApplication para adquirir un token de identidad administrada. A continuación, este token se puede usar como aserción de cliente al construir una aplicación cliente confidencial.

using Microsoft.Identity.Client;
using Microsoft.Identity.Client.AppConfig;
using Azure.Storage.Blobs;
using Azure.Core;
using Azure.Storage.Blobs.Models;

internal class Program
{
  static async Task Main(string[] args)
  {
      string storageAccountName = "YOUR_STORAGE_ACCOUNT_NAME";
      string containerName = "CONTAINER_NAME";

      string appClientId = "YOUR_APP_CLIENT_ID";
      string resourceTenantId = "YOUR_RESOURCE_TENANT_ID";
      Uri authorityUri = new($"https://login.microsoftonline.com/{resourceTenantId}");
      string miClientId = "YOUR_MI_CLIENT_ID";
      string audience = "api://AzureADTokenExchange/.default";

      // Get mi token to use as assertion
      var miAssertionProvider = async (AssertionRequestOptions _) =>
      {
            var miApplication = ManagedIdentityApplicationBuilder
                .Create(ManagedIdentityId.WithUserAssignedClientId(miClientId))
                .Build();

            var miResult = await miApplication.AcquireTokenForManagedIdentity(audience)
                .ExecuteAsync()
                .ConfigureAwait(false);
            return miResult.AccessToken;
      };

      // Create a confidential client application with the assertion.
      IConfidentialClientApplication app = ConfidentialClientApplicationBuilder.Create(appClientId)
        .WithAuthority(authorityUri, false)
        .WithClientAssertion(miAssertionProvider)
        .WithCacheOptions(CacheOptions.EnableSharedCacheOptions)
        .Build();

        // Get the federated app token for the storage account
        string[] scopes = [$"https://{storageAccountName}.blob.core.windows.net/.default"];
        AuthenticationResult result = await app.AcquireTokenForClient(scopes).ExecuteAsync().ConfigureAwait(false);

        TokenCredential tokenCredential = new AccessTokenCredential(result.AccessToken);
        var containerClient = new BlobContainerClient(
            new Uri($"https://{storageAccountName}.blob.core.windows.net/{containerName}"),
            tokenCredential);

        await foreach (BlobItem blob in containerClient.GetBlobsAsync())
        {
            // TODO: perform operations with the blobs
            BlobClient blobClient = containerClient.GetBlobClient(blob.Name);
            Console.WriteLine($"Blob name: {blobClient.Name}, URI: {blobClient.Uri}");
        }
    }
}

Consulte también

Consideraciones y restricciones importantes para las credenciales de identidad federada.