Usare le identità gestite per Azure rete per la distribuzione di contenuti per accedere ai certificati di Azure Key Vault
Un'identità gestita generata da Microsoft Entra ID consente all'istanza di Azure rete per la distribuzione di contenuti di accedere in modo semplice e sicuro ad altre risorse protette di Microsoft Entra, ad esempio Azure Key Vault. Azure gestisce la risorsa di identità, quindi non è necessario creare o ruotare segreti. Per altre informazioni sulle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure.
Dopo aver abilitato l'identità gestita per Frontdoor di Azure e aver concesso le autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi di Azure, Frontdoor di Azure usa solo l'identità gestita per accedere ai certificati. Se non si aggiunge l'autorizzazione per l'identità gestita all'insieme di credenziali delle chiavi, l'aggiunta automatica del certificato personalizzato e l'aggiunta di nuovi certificati non riesce senza autorizzazioni per Key Vault. Se si disabilita l'identità gestita, Frontdoor di Azure esegue il fallback all'uso dell'app Microsoft Entra configurata originale. Questa soluzione non è consigliata e verrà ritirata in futuro.
È possibile concedere due tipi di identità a un profilo frontdoor di Azure:
Un'identità assegnata dal sistema viene associata al servizio e viene eliminata in caso di eliminazione. Il servizio può avere una sola identità assegnata dal sistema.
Un'identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata al servizio. Il servizio può avere più identità assegnate dall'utente.
Le identità gestite sono specifiche del tenant di Microsoft Entra in cui è ospitata la sottoscrizione di Azure. Non vengono aggiornati se una sottoscrizione viene spostata in una directory diversa. Se una sottoscrizione viene spostata, è necessario ricreare e riconfigurare l'identità.
Prerequisiti
Prima di configurare l'identità gestita per Frontdoor di Azure, è necessario creare un profilo Frontdoor di Azure Standard o Premium. Per creare un nuovo profilo frontdoor di Azure, vedere Creare un profilo di Azure rete per la distribuzione di contenuti.
Abilitare l'identità gestita
Passare a un profilo di azure rete per la distribuzione di contenuti esistente. Selezionare Identity from (Identità) in Impostazioni nel riquadro del menu a sinistra.
Selezionare un'identità gestita assegnata dal sistema o assegnata dall'utente .
Assegnata dal sistema: viene creata un'identità gestita per il ciclo di vita del profilo di Azure rete per la distribuzione di contenuti e viene usata per accedere ad Azure Key Vault.
Assegnata dall'utente : una risorsa di identità gestita autonoma viene usata per eseguire l'autenticazione in Azure Key Vault e ha un proprio ciclo di vita.
Assegnata dal sistema
Impostare Stato su Sì e quindi selezionare Salva.
Viene visualizzato un messaggio per confermare che si vuole creare un'identità gestita di sistema per il profilo frontdoor di Azure. Seleziona Sì per confermare.
Dopo aver creato e registrato l'identità gestita assegnata dal sistema con Microsoft Entra ID, è possibile usare l'ID Oggetto (entità) per concedere ad Azure rete per la distribuzione di contenuti l'accesso all'insieme di credenziali delle chiavi di Azure.
Assegnata dall'utente
È necessario avere già creato un'identità gestita dall'utente. Per creare una nuova identità, vedere Creare un'identità gestita assegnata dall'utente.
Nella scheda Assegnata dall'utente selezionare + Aggiungi per aggiungere un'identità gestita assegnata dall'utente.
Cercare e selezionare l'identità assegnata dall'utente. Selezionare quindi Aggiungi per aggiungere l'identità gestita dall'utente al profilo di azure rete per la distribuzione di contenuti.
Nel profilo di Azure rete per la distribuzione di contenuti viene visualizzato il nome dell'identità gestita assegnata dall'utente selezionato.
Configurare i criteri di accesso di Key Vault
Passare all'insieme di credenziali delle chiavi di Azure. Selezionare Criteri di accesso da in Impostazioni e quindi selezionare + Crea.
Nella scheda Autorizzazioni della pagina Crea criteri di accesso selezionare Elenco e Ottieni per autorizzazioni segrete. Selezionare quindi Avanti per configurare la scheda principale.
Nella scheda Entità incollare l'ID dell'oggetto (entità) se si usa un'identità gestita dal sistema o immettere un nome se si usa un'identità gestita assegnata dall'utente. Selezionare quindi rivedi e crea scheda. La scheda Applicazione viene ignorata perché Frontdoor di Azure viene già selezionato automaticamente.
Esaminare le impostazioni dei criteri di accesso e quindi selezionare Crea per configurare i criteri di accesso.
Passaggi successivi
- Informazioni su come reindirizzare gli utenti a HTTPS con il motore regole Standard
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per