Autenticación del almacén con identidades administradas para recursos de Azure
- 4 minutos
Azure Key Vault usa Microsoft Entra ID para autenticar los usuarios y aplicaciones que intentan acceder a un almacén. Para conceder acceso a la aplicación web al almacén, primero necesita registrar la aplicación en Microsoft Entra ID. El registro crea una identidad para la aplicación. Una vez que la aplicación tiene una identidad, puede asignarle permisos de almacén.
Las aplicaciones y los usuarios se autentican en Key Vault con un token de autenticación de Microsoft Entra. La obtención de un token de Microsoft Entra ID requiere un secreto o certificado. Cualquier persona con un token podría usar la identidad de la aplicación para acceder a todos los secretos del almacén.
Los secretos de la aplicación están seguros en el almacén, pero todavía necesita mantener un secreto o certificado fuera del almacén para acceder a ellos. Este problema se denomina problema de arranque y Azure tiene una solución para él.
Identidades administradas de recursos de Azure
Las identidades administradas para recursos de Azure son una característica de Azure que cualquier aplicación puede usar para acceder tanto a Key Vault como a otros servicios de Azure sin tener que administrar ni un solo secreto fuera del almacén. El uso de una identidad administrada es una forma sencilla y segura de aprovechar Key Vault desde la aplicación web.
Al habilitar la identidad administrada en la aplicación web, Azure activa un servicio REST de concesión de token independiente para que la aplicación lo use específicamente. La aplicación solicita tokens de este servicio en lugar de hacerlo directamente desde Microsoft Entra ID. La aplicación tiene que usar un secreto para acceder a este servicio, App Service inserta ese secreto en las variables de entorno de la aplicación al iniciarse. No es necesario administrar ni almacenar este valor secreto en ningún lugar y ningún elemento externo a la aplicación puede acceder a este secreto ni al punto de conexión de servicio de token de identidad administrada.
Las identidades administradas para los recursos de Azure también registran automáticamente la aplicación en Microsoft Entra ID. Microsoft Entra ID elimina el registro si elimina la aplicación web o deshabilita su identidad administrada.
Las identidades administradas están disponibles en todas las ediciones de Microsoft Entra ID, incluida la edición gratuita que se incluye con una suscripción de Azure. Su uso en App Service no supone ningún costo ni ninguna configuración adicionales y se puede habilitar o deshabilitar en una aplicación en cualquier momento.
Para habilitar una identidad administrada para una aplicación web solo se requiere un único comando de la CLI de Azure sin ninguna configuración. Lo hará más adelante cuando configure una aplicación de App Service y la implementemos en Azure. Sin embargo, antes de eso, aplique sus conocimientos sobre identidades administradas para escribir el código para nuestra aplicación.