Informazioni sulle identità gestite per le risorse di Azure

Una sfida comune per gli sviluppatori è la gestione di segreti, credenziali, certificati e chiavi usati per proteggere la comunicazione tra i servizi. Le identità gestite eliminano la necessità per gli sviluppatori di gestire queste credenziali.

Anche se gli sviluppatori possono archiviare in modo sicuro i segreti in Azure Key Vault, i servizi necessitano di un modo per accedere ad Azure Key Vault. Le identità gestite forniscono un'identità gestita automaticamente in Azure Active Directory per consentire alle applicazioni di connettersi alle risorse che supportano l'autenticazione Azure Active Directory (Azure AD). Le applicazioni possono usare le identità gestite per ottenere i token di Azure AD senza dover gestire le credenziali.

Il video seguente illustra come usare le identità gestite:

Ecco alcuni dei vantaggi dell'uso delle identità gestite:

  • Non è necessario gestire le credenziali. Le credenziali non sono nemmeno accessibili all'utente.
  • È possibile usare le identità gestite per eseguire l'autenticazione a qualsiasi risorsa che supporti l'autenticazione di Azure AD, incluse le proprie applicazioni.
  • Le identità gestite possono essere usate senza costi aggiuntivi.

Nota

Identità gestite per le risorse di Azure è il nuovo nome per il servizio precedentemente noto come identità del servizio gestita.

Tipi di identità gestita

Sono disponibili due tipi di identità gestite:

  • Assegnata dal sistema. Alcuni servizi di Azure consentono di abilitare un'identità gestita direttamente in un'istanza del servizio. Quando si abilita un'identità gestita assegnata dal sistema, viene creata un'identità in Azure AD. L'identità è associata al ciclo di vita dell'istanza del servizio. Quando la risorsa viene eliminata, Azure elimina automaticamente anche l'identità. Per impostazione predefinita, solo questa specifica risorsa di Azure può usare questa identità per richiedere token ad Azure AD.
  • Assegnata dall'utente. È anche possibile creare un'identità gestita come risorsa di Azure autonoma. È possibile creare un'identità gestita assegnata dall'utente e assegnarla a una o più istanze di un servizio di Azure. Per le identità gestite assegnate dall'utente, l'identità viene gestita separatamente dalle risorse che lo usano.

La tabella seguente illustra le differenze tra i due tipi di identità gestite:

Proprietà Identità gestita assegnata dal sistema Identità gestita assegnata dall'utente
Creazione Creato come parte di una risorsa di Azure, ad esempio Azure Macchine virtuali o Servizio app di Azure. Creata come risorsa di Azure autonoma.
Ciclo di vita Ciclo di vita condiviso con la risorsa di Azure con cui viene creata l'identità gestita.
Quando viene eliminata la risorsa padre, viene eliminata anche l'identità gestita.
Ciclo di vita indipendente.
Dev'essere eliminato in modo esplicito.
Condivisione tra risorse di Azure Non è possibile condividere.
Può essere associata solo a una singola risorsa di Azure.
Può essere condivisa.
La stessa identità gestita assegnata dall'utente può essere associata a più risorse di Azure.
Casi d'uso comuni Carichi di lavoro che sono contenuti all'interno di una singola risorsa di Azure.
Carichi di lavoro per cui sono necessarie identità indipendenti.
Ad esempio, un'applicazione eseguita in una singola macchina virtuale.
Carichi di lavoro eseguiti su più risorse e possono condividere una singola identità.
Carichi di lavoro che richiedono la pre-autorizzazione per una risorsa sicura, come parte di un flusso di provisioning.
Carichi di lavoro in cui le risorse vengono riciclate frequentemente, ma le autorizzazioni devono rimanere coerenti.
Ad esempio, un carico di lavoro in cui più macchine virtuali devono accedere alla stessa risorsa.

Importante

Indipendentemente dal tipo di identità scelta, un'identità gestita è un'entità servizio di un tipo speciale che può essere usata solo con le risorse di Azure. Quando l'identità gestita viene eliminata, l'entità servizio corrispondente viene automaticamente rimossa.


Come usare le identità gestite per le risorse di Azure

È possibile usare le identità gestite seguendo questa procedura:

  1. Creare un'identità gestita in Azure. È possibile scegliere tra identità gestita assegnata dal sistema o identità gestita assegnata dall'utente.
  2. Quando si usa un'identità gestita assegnata dall'utente, assegnare l'identità gestita alla risorsa di Azure "di origine", ad esempio un'app per la logica di Azure o un'app Web di Azure.
  3. Autorizzare l'identità gestita ad avere accesso al servizio di destinazione.
  4. Usare l'identità gestita per accedere a una risorsa. In questo passaggio è possibile usare Azure SDK con la libreria Azure.Identity. Alcune risorse di "origine" offrono connettori che sanno come usare le identità gestite per le connessioni. In tal caso, si usa l'identità come funzionalità della risorsa "di origine".

Servizi di Azure che supportano questa funzionalità

Le identità gestite per le risorse di Azure possono essere usate per eseguire l'autenticazione ai servizi che supportano l'autenticazione di Azure AD. Per un elenco dei servizi di Azure supportati, vedere Servizi che supportano le identità gestite per le risorse di Azure.

Quali operazioni è possibile eseguire usando le identità gestite?

Le risorse che supportano le identità gestite assegnate dal sistema consentono di:

  • Abilitare o disabilitare le identità gestite a livello di risorsa.
  • Usare il controllo degli accessi in base al ruolo per concedere le autorizzazioni.
  • Visualizzare le operazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD) nei log attività di Azure.
  • Visualizzare l'attività di accesso nei log di accesso di Azure AD.

Se invece si sceglie un'identità gestita assegnata dall'utente:

Le operazioni sulle identità gestite possono essere eseguite usando un modello di azure Resource Manager, l'portale di Azure, l'interfaccia della riga di comando di Azure, PowerShell e le API REST.

Passaggi successivi