Come usare le identità gestite nel servizio app e in Funzioni di Azure

Articolo
10/18/2023

Questo articolo illustra come creare un'identità gestita per servizio app e Funzioni di Azure applicazioni e come usarla per accedere ad altre risorse.

Importante

Poiché le identità gestite non supportano scenari tra directory, non si comportano come previsto se l'app viene migrata tra sottoscrizioni o tenant. Per ricreare le identità gestite dopo tale spostamento, vedere Le identità gestite verranno ricreate automaticamente se si sposta una sottoscrizione in un'altra directory? Per usare la nuova identità, anche le risorse a valle devono disporre di criteri di accesso aggiornati.

Nota

Le identità gestite non sono disponibili per le app distribuite in Azure Arc.

Un'identità gestita da Microsoft Entra ID consente all'app di accedere facilmente ad altre risorse protette di Microsoft Entra, ad esempio Azure Key Vault. L'identità viene gestita dalla piattaforma Azure e non è necessario eseguire il provisioning o ruotare alcun segreto. Per altre informazioni sulle identità gestite in Microsoft Entra ID, vedere Identità gestite per le risorse di Azure.

All'applicazione possono essere concessi due tipi di identità:

Un'identità assegnata dal sistema viene associata all'applicazione e viene eliminata in caso di eliminazione dell'app. A un'app può essere associata una sola identità assegnata dal sistema.
Un'identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata all'app. Un'app può avere più identità assegnate dall'utente.

La configurazione dell'identità gestita è specifica dello slot. Per configurare un'identità gestita per uno slot di distribuzione nel portale, passare prima allo slot. Per trovare l'identità gestita per l'app Web o lo slot di distribuzione nel tenant di Microsoft Entra dal portale di Azure, cercarlo direttamente dalla pagina Panoramica del tenant. In genere, il nome dello slot è simile a <app-name>/slots/<slot-name>.

Questo video illustra come usare le identità gestite per servizio app.

I passaggi del video sono descritti anche nelle sezioni seguenti.

Aggiungere un'identità assegnata dal sistema

Nel riquadro di spostamento sinistro della pagina dell'app scorrere verso il basso fino al gruppo Impostazioni.
Selezionare Identità.
All'interno della scheda Assegnata dal sistema impostare Stato su Attivato. Fare clic su Salva.

Eseguire il az webapp identity assign comando per creare un'identità assegnata dal sistema:

az webapp identity assign --name myApp --resource-group myResourceGroup

Per servizio app

Eseguire il Set-AzWebApp -AssignIdentity comando per creare un'identità assegnata dal sistema per servizio app:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name>

Per funzioni

Eseguire il Update-AzFunctionApp -IdentityType comando per creare un'identità assegnata dal sistema per un'app per le funzioni:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

Per automatizzare la distribuzione delle risorse di Azure, è possibile usare un modello di Azure Resource Manager. Per altre informazioni sulla distribuzione nel Servizio App e in Funzioni, vedere Automating resource deployment in App Service (Automatizzare la distribuzione delle risorse nel Servizio App) e Automatizzare la distribuzione di risorse per l'app per le funzioni in Funzioni di Azure.

Qualsiasi risorsa di tipo Microsoft.Web/sites può essere creata con un'identità, includendo la seguente proprietà nella definizione della risorsa:

"identity": {
    "type": "SystemAssigned"
}

L'aggiunta del tipo assegnato dal sistema indica ad Azure di creare e gestire l'identità per l'applicazione.

Ad esempio, il modello di un'app Web potrebbe essere simile al codice JSON seguente:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Quando viene creato, il sito ha le proprietà aggiuntive seguenti:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

La proprietà tenantId identifica il tenant di Microsoft Entra a cui appartiene l'identità. La proprietà principalId è un identificatore univoco per la nuova identità dell'applicazione. All'interno di Microsoft Entra ID, l'entità servizio ha lo stesso nome assegnato all'istanza di servizio app o Funzioni di Azure.

Se è necessario fare riferimento a queste proprietà in una fase successiva del modello, è possibile farlo tramite la reference() funzione modello con il 'Full' flag , come in questo esempio:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Aggiungere un'identità assegnata dall'utente

La creazione di un'app con un'identità assegnata dall'utente richiede la creazione dell'identità e quindi l'aggiunta dell'identificatore di risorsa corrispondente alla configurazione dell'app.

Sarà prima di tutto necessario creare una risorsa identità assegnata dall'utente.

Seguire queste istruzioni per creare una risorsa identità gestita assegnata dall'utente.
Nel riquadro di spostamento a sinistra per la pagina dell'app scorrere verso il basso fino al gruppo di Impostazioni.
Selezionare Identità.
Selezionare Aggiungi assegnato dall'utente>.
Cercare l'identità creata in precedenza, selezionarla e selezionare Aggiungi.

Dopo aver selezionato Aggiungi, l'app viene riavviata.

Creare un'identità assegnata dall'utente.

az identity create --resource-group <group-name> --name <identity-name>

Eseguire il az webapp identity assign comando per assegnare l'identità all'app.

az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>

Per servizio app

L'aggiunta di un'identità assegnata dall'utente in servizio app non è attualmente supportata.

Per funzioni

Creare un'identità assegnata dall'utente.

Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>

Eseguire il Update-AzFunctionApp -IdentityType UserAssigned -IdentityId comando per assegnare l'identità in Funzioni:

Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id

Qualsiasi risorsa di tipo Microsoft.Web/sites può essere creata con un'identità includendo il blocco seguente nella definizione della risorsa, sostituendo <resource-id> con l'ID risorsa dell'identità desiderata:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Nota

Un'applicazione può avere contemporaneamente sia identità assegnate dal sistema che assegnate dall'utente. In questo caso, la proprietà type sarebbe SystemAssigned,UserAssigned

L'aggiunta del tipo assegnato dall'utente indica ad Azure di usare l'identità assegnata dall'utente specificata per l'applicazione.

Ad esempio, il modello di un'app Web potrebbe essere simile al codice JSON seguente:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Quando viene creato, il sito ha le proprietà aggiuntive seguenti:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

PrincipalId è un identificatore univoco per l'identità usata per l'amministrazione di Microsoft Entra. clientId è un identificatore univoco per la nuova identità dell'applicazione, che viene usato per specificare l'identità da usare durante le chiamate di runtime.

Configurare la risorsa di destinazione

Potrebbe essere necessario configurare la risorsa di destinazione per consentire l'accesso dall'app o dalla funzione. Ad esempio, se si richiede un token per accedere a Key Vault, è necessario aggiungere anche un criterio di accesso che includa l'identità gestita dell'app o della funzione. In caso contrario, le chiamate a Key Vault verranno rifiutate, anche se si usa un token valido. Lo stesso vale per database SQL di Azure. Per altre informazioni sulle risorse che supportano i token Microsoft Entra, vedere Servizi di Azure che supportano l'autenticazione di Microsoft Entra.

Importante

I servizi back-end per le identità gestite conservano una cache per ogni URI di risorsa per circa 24 ore. Se si aggiornano i criteri di accesso di una determinata risorsa di destinazione e si recupera immediatamente un token per tale risorsa, è possibile ottenere un token memorizzato nella cache con autorizzazioni obsolete fino alla scadenza del token. Attualmente non è possibile forzare l'aggiornamento di un token.

Connessione ai servizi di Azure nel codice dell'app

Con l'identità gestita, un'app può ottenere token per le risorse di Azure protette dall'ID Entra Di Microsoft, ad esempio database SQL di Azure, Azure Key Vault e Archiviazione di Azure. Questi token rappresentano le applicazioni che accedono alla risorsa e non un utente specifico dell'applicazione.

servizio app e Funzioni di Azure forniscono un endpoint REST accessibile internamente per il recupero dei token. È possibile accedere all'endpoint REST dall'interno dell'app con un HTTP GET standard, che può essere implementato con un client HTTP generico in ogni linguaggio. Per .NET, JavaScript, Java e Python, la libreria client di Identità di Azure fornisce un'astrazione su questo endpoint REST e semplifica l'esperienza di sviluppo. Connessione ad altri servizi di Azure è semplice come l'aggiunta di un oggetto credenziale al client specifico del servizio.

Una richiesta HTTP GET non elaborata è simile all'esempio seguente:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

E un esempio di risposta potrebbe apparire come segue:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Questa risposta corrisponde alla risposta per la richiesta di token di accesso da servizio a servizio Microsoft Entra. Per accedere a Key Vault, si aggiungerà quindi il valore di access_token a una connessione client con l'insieme di credenziali.

Nota

Quando ci si connette alle origini dati SQL di Azure con Entity Framework Core, è consigliabile usare Microsoft.Data.SqlClient, che fornisce stringa di connessione speciali per la connettività delle identità gestite. Per un esempio, vedere Esercitazione: Proteggere database SQL di Azure connessione da servizio app usando un'identità gestita.

Per le app e le funzioni .NET, il modo più semplice per usare un'identità gestita consiste nell'usare la libreria client di Identità di Azure per .NET. Per indicazioni dettagliate, vedere Esercitazione: Connessione ai database di Azure da servizio app senza segreti usando un'identità gestita.

Per informazioni, vedere le rispettive intestazioni della documentazione della libreria client:

Gli esempi collegati usano DefaultAzureCredential. È utile per la maggior parte degli scenari perché lo stesso modello funziona in Azure (con identità gestite) e nel computer locale (senza identità gestite).

Per Node.js app e funzioni JavaScript, il modo più semplice per usare un'identità gestita consiste nell'usare la libreria client di Identità di Azure per JavaScript. Per indicazioni dettagliate, vedere Esercitazione: Connessione ai database di Azure da servizio app senza segreti usando un'identità gestita.

Per informazioni, vedere le rispettive intestazioni della documentazione della libreria client:

Per altri esempi di codice della libreria client di Identità di Azure per JavaScript, vedere Esempi di identità di Azure.

Per le app e le funzioni Python, il modo più semplice per usare un'identità gestita consiste nell'usare la libreria client di Identità di Azure per Python. Per indicazioni dettagliate, vedere Esercitazione: Connessione ai database di Azure da servizio app senza segreti usando un'identità gestita.

Per informazioni, vedere le rispettive intestazioni della documentazione della libreria client:

Per le app e le funzioni Java, il modo più semplice per usare un'identità gestita consiste nell'usare la libreria client di Identità di Azure per Java. Per indicazioni dettagliate, vedere Esercitazione: Connessione ai database di Azure da servizio app senza segreti usando un'identità gestita.

Per informazioni, vedere le rispettive intestazioni della documentazione della libreria client:

Per altri esempi di codice della libreria client di Identità di Azure per Java, vedere Esempi di identità di Azure.

Usare lo script seguente per recuperare un token dall'endpoint locale specificando un URI di risorsa di un servizio di Azure:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Per altre informazioni sull'endpoint REST, vedere Informazioni di riferimento sull'endpoint REST.

Rimuovere un'identità

Quando si rimuove un'identità assegnata dal sistema, viene eliminata dall'ID Microsoft Entra. Anche le identità assegnate dal sistema vengono rimosse automaticamente dall'ID Microsoft Entra quando si elimina la risorsa dell'app stessa.

Nel riquadro di spostamento sinistro della pagina dell'app scorrere verso il basso fino al gruppo Impostazioni.
Selezionare Identità. Seguire quindi i passaggi in base al tipo di identità:
- Identità assegnata dal sistema: nella scheda Assegnata dal sistema impostare Stato su Disattivato. Fare clic su Salva.
- Identità assegnata dall'utente: selezionare la scheda Assegnata dall'utente, selezionare la casella di controllo per l'identità e selezionare Rimuovi. Seleziona Sì per confermare.

Per rimuovere l'identità assegnata dal sistema:

az webapp identity remove --name <app-name> --resource-group <group-name>

Per rimuovere una o più identità assegnate dall'utente:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-id1> <identity-id2> ...

È anche possibile rimuovere l'identità assegnata dal sistema specificando [system] in --identities.

Per servizio app

Eseguire il Set-AzWebApp -AssignIdentity comando per rimuovere un'identità assegnata dal sistema per servizio app:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name>

Per funzioni

Per rimuovere tutte le identità in Azure PowerShell (solo Funzioni di Azure):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

Per rimuovere tutte le identità in un modello di Resource Manager:

"identity": {
    "type": "None"
}

Nota

È inoltre disponibile l'impostazione applicazione WEBSITE_DISABLE_MSI che, se attivata, disabilita il servizio token locale, Tuttavia, lascia l'identità sul posto e gli strumenti visualizzeranno comunque l'identità gestita come "attivata" o "abilitata". Di conseguenza, l'uso di questa impostazione non è consigliato.

Informazioni di riferimento sugli endpoint REST

Un'app con un'identità gestita rende disponibile questo endpoint definendo due variabili di ambiente:

IDENTITY_ENDPOINT: URL del servizio token locale.
IDENTITY_HEADER: intestazione usata per mitigare gli attacchi SSRF (Server Side Request Forgery). Il valore viene ruotato dalla piattaforma.

IDENTITY_ENDPOINT è un URL locale da cui l'app può richiedere i token. Per ottenere un token per una risorsa, eseguire una richiesta HTTP GET a questo endpoint, includendo i parametri seguenti:

Nome parametro In Descrizione

resource Query URI della risorsa Microsoft Entra per cui ottenere un token. Potrebbe trattarsi di uno dei servizi di Azure che supportano l'autenticazione di Microsoft Entra o qualsiasi altro URI di risorsa.

api-version Query Versione dell'API del token da usare. Usare 2019-08-01.

X-IDENTITY-HEADER Intestazione Valore della variabile di ambiente IDENTITY_HEADER. Questa intestazione viene usata per mitigare gli attacchi SSRF (Server Side Request Forgery).

client_id Query (Facoltativo) ID client dell'identità assegnata dall'utente da usare. Non può essere usato in una richiesta che include principal_id, mi_res_id o object_id. Se vengono omessi tutti i parametri ID (client_id, principal_id, object_id e mi_res_id), viene usata l'identità assegnata dal sistema.

principal_id Query (Facoltativo) ID entità di sicurezza dell'identità assegnata dall'utente da usare. object_id è un alias che può essere usato in alternativa. Non può essere usato in una richiesta che include: client_id, mi_res_id oppure object_id. Se vengono omessi tutti i parametri ID (client_id, principal_id, object_id e mi_res_id), viene usata l'identità assegnata dal sistema.

mi_res_id Query (Facoltativo) ID delle risorsa Azure dell'identità assegnata dall'utente da usare. Non può essere usato in una richiesta che include principal_id, client_id o object_id. Se vengono omessi tutti i parametri ID (client_id, principal_id, object_id e mi_res_id), viene usata l'identità assegnata dal sistema.

Nome parametro	In	Descrizione
resource	Query	URI della risorsa Microsoft Entra per cui ottenere un token. Potrebbe trattarsi di uno dei servizi di Azure che supportano l'autenticazione di Microsoft Entra o qualsiasi altro URI di risorsa.
api-version	Query	Versione dell'API del token da usare. Usare `2019-08-01`.
X-IDENTITY-HEADER	Intestazione	Valore della variabile di ambiente IDENTITY_HEADER. Questa intestazione viene usata per mitigare gli attacchi SSRF (Server Side Request Forgery).
client_id	Query	(Facoltativo) ID client dell'identità assegnata dall'utente da usare. Non può essere usato in una richiesta che include `principal_id`, `mi_res_id` o `object_id`. Se vengono omessi tutti i parametri ID (`client_id`, `principal_id`, `object_id` e `mi_res_id`), viene usata l'identità assegnata dal sistema.
principal_id	Query	(Facoltativo) ID entità di sicurezza dell'identità assegnata dall'utente da usare. `object_id` è un alias che può essere usato in alternativa. Non può essere usato in una richiesta che include: client_id, mi_res_id oppure object_id. Se vengono omessi tutti i parametri ID (`client_id`, `principal_id`, `object_id` e `mi_res_id`), viene usata l'identità assegnata dal sistema.
mi_res_id	Query	(Facoltativo) ID delle risorsa Azure dell'identità assegnata dall'utente da usare. Non può essere usato in una richiesta che include `principal_id`, `client_id` o `object_id`. Se vengono omessi tutti i parametri ID (`client_id`, `principal_id`, `object_id` e `mi_res_id`), viene usata l'identità assegnata dal sistema.

Importante

Per ottenere i token per le identità assegnate dall'utente, è necessario includere una delle proprietà facoltative. In caso contrario, il servizio token tenterà di ottenere un token per un'identità assegnata dal sistema, che potrebbe o meno esistere.

Come usare le identità gestite nel servizio app e in Funzioni di Azure

Aggiungere un'identità assegnata dal sistema

Per servizio app

Per funzioni

Aggiungere un'identità assegnata dall'utente

Per servizio app

Per funzioni

Configurare la risorsa di destinazione

Connessione ai servizi di Azure nel codice dell'app

Rimuovere un'identità

Per servizio app

Per funzioni

Informazioni di riferimento sugli endpoint REST

Passaggi successivi

Risorse aggiuntive