Autenticare le app Java ospitate su Azure alle risorse di Azure usando un'identità gestita assegnata dall'utente

L'approccio consigliato per autenticare un'app ospitata Azure in altre risorse di Azure consiste nell'usare un'identità managed identity. La maggior parte dei servizi Azure supporta questo approccio, incluse le app ospitate in Servizio app di Azure, App contenitore di Azure e Macchine virtuali di Azure. Per altre informazioni, vedere Azure servizi e tipi di risorse che supportano le identità gestite. Per altre informazioni sulle diverse tecniche e approcci di autenticazione, vedere Authenticate Java apps to Azure services using the Azure Identity library.

Nelle sezioni seguenti vengono fornite informazioni su:

Concetti essenziali relativi all'identità gestita.
Come creare un'identità gestita assegnata dall'utente per l'app.
Come assegnare ruoli all'identità gestita assegnata dall'utente.
Come eseguire l'autenticazione usando l'identità gestita assegnata dall'utente dal codice dell'app.

Concetti essenziali relativi all'identità gestita

Un'identità gestita consente all'app di connettersi in modo sicuro ad altre risorse Azure senza usare chiavi segrete o altri segreti dell'applicazione. Internamente, Azure tiene traccia dell'identità e delle risorse a cui è consentito connettersi. Azure usa queste informazioni per ottenere automaticamente token di Microsoft Entra per consentire all'app di connettersi ad altre risorse Azure.

Esistono due tipi di identità gestite da considerare durante la configurazione dell'app ospitata:

Assegnate dal sistema, le identità gestite vengono abilitate direttamente su una risorsa Azure e sono associate al suo ciclo di vita. Quando la risorsa viene eliminata, Azure elimina automaticamente l'identità per te. Le identità assegnate dal sistema offrono un approccio minimalista all'uso delle identità gestite.
Identità gestita assegnata dall'utente vengono create come risorse Azure autonome e offrono maggiore flessibilità e funzionalità. Sono ideali per soluzioni che coinvolgono più risorse Azure che devono condividere la stessa identità e le stesse autorizzazioni. Ad esempio, se più macchine virtuali devono accedere allo stesso set di risorse Azure, un'identità gestita assegnata dall'utente offre la riutilizzabilità e la gestione ottimizzata.

Suggerimento

Altre informazioni sulla selezione e sulla gestione delle identità gestite assegnate dal sistema e assegnate dall'utente sono disponibili nell'articolo Raccomandazioni sulle procedure consigliate sulle identità gestite .

Le sezioni seguenti descrivono i passaggi per abilitare e usare un'identità gestita assegnata dall'utente per un'app ospitata Azure. Se è necessario usare un'identità gestita assegnata dal sistema, vedere Autenticare le app Java ospitate su Azure alle risorse di Azure usando un'identità gestita assegnata dal sistema.

Creare un'identità gestita assegnata dall'utente

Le identità gestite assegnate dall'utente vengono create come risorse autonome nella sottoscrizione Azure usando il portale di Azure o il interfaccia della riga di comando di Azure. I comandi di interfaccia della riga di comando di Azure possono essere eseguiti nel Azure Cloud Shell o su una workstation con interfaccia della riga di comando di Azure installata.

Portal di Azure
interfaccia della riga di comando di Azure

Nel portale di Azure immettere Managed identities nella barra di ricerca principale e selezionare il risultato corrispondente nella sezione Services.
Nella pagina Identità gestite selezionare + Crea.

Screenshot che mostra la pagina per gestire le identità gestite assegnate dall'utente.
Nella pagina Crea identità gestita assegnata dall'utente selezionare una sottoscrizione, un gruppo di risorse e un'area per l'identità gestita assegnata dall'utente e quindi specificare un nome.
Seleziona Rivedi e crea per esaminare e convalidare i dati.

Screenshot che mostra il modulo per creare un'identità gestita assegnata dall'utente.
Selezionare Crea per creare l'identità gestita assegnata dall'utente.
Dopo aver creato l'identità, selezionare Vai alla risorsa.
Nella pagina panoramica della nuova identità, copiare il valore ID client da utilizzare successivamente per configurare il codice dell'applicazione.

Usare il comando interfaccia della riga di comando di Azure az identity create per creare un'identità gestita:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

L'output del comando mostra l'ID client dell'identità gestita assegnata dall'utente che è stata creata. L'ID client viene usato per configurare il codice dell'applicazione che si basa sull'identità.

È sempre possibile visualizzare di nuovo le proprietà dell'identità gestita usando il comando :

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Assegna l'identità gestita all'applicazione

Un'identità gestita assegnata dall'utente può essere associata a una o più risorse Azure. Tutte le risorse che usano tale identità ottengono le autorizzazioni applicate tramite i ruoli dell'identità.

Portal di Azure
interfaccia della riga di comando di Azure

Nel portale di Azure passare alla risorsa che ospita il codice dell'app, ad esempio un'istanza di Servizio app di Azure o App contenitore di Azure.
Nella Pagina Panoramica della risorsa, espandere Impostazioni e selezionare Identità nel menu di navigazione.
Nella pagina Identità , passare alla scheda Assegnata dall'utente .
Selezionare + Aggiungi per aprire il pannello Aggiungi identità gestita assegnata dall'utente.
Nel pannello Aggiungi identità gestita assegnata dall'utente, usa il menu a discesa Sottoscrizione per filtrare i risultati della ricerca per le tue identità. Usare la casella di ricerca Identità gestite assegnate dall'utente per individuare l'identità gestita assegnata dall'utente abilitata per la risorsa Azure che ospita l'app.
Selezionare l'identità e scegliere Aggiungi nella parte inferiore del pannello per continuare.

Screenshot che mostra come associare un'identità gestita assegnata dall'utente a un'app.

Il interfaccia della riga di comando di Azure fornisce comandi diversi per assegnare un'identità gestita assegnata dall'utente a diversi tipi di servizi di hosting.

Per assegnare un'identità gestita assegnata dall'utente a una risorsa, ad esempio un'app Web Servizio app di Azure usando il interfaccia della riga di comando di Azure, è necessario l'ID risorsa dell'identità. Usare il comando per recuperare l'ID risorsa:
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query id
```
Dopo aver ottenuto l'ID risorsa, usare il comando interfaccia della riga di comando di Azure comando az <resourceType> identity assign per associare l'identità gestita assegnata dall'utente a risorse diverse, ad esempio:

Per Servizio app di Azure, usare il comando interfaccia della riga di comando di Azure az webapp identity assign:
```
az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <user-assigned-identity-resource-id>
```
Per App contenitore di Azure, usare il comando interfaccia della riga di comando di Azure az containerapp identity assign:
```
az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --user-assigned <user-assigned-identity-resource-id>
```
Per Macchine virtuali di Azure, usare il comando interfaccia della riga di comando di Azure az vm identity assign:
```
az vm identity assign \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --identities <user-assigned-identity-resource-id>
```

Assegnare ruoli all'identità gestita

Successivamente, determinare i ruoli necessari per l'app e assegnare tali ruoli all'identità gestita. È possibile assegnare ruoli a un'identità gestita negli ambiti seguenti:

risorsa: i ruoli assegnati si applicano solo a tale risorsa specifica.
gruppo di risorse: i ruoli assegnati si applicano a tutte le risorse contenute nel gruppo di risorse.
Sottoscrizione: I ruoli assegnati si applicano a tutte le risorse contenute nella sottoscrizione.

L'esempio seguente illustra come assegnare ruoli nell'ambito del gruppo di risorse, poiché molte app gestiscono tutte le risorse Azure correlate usando un singolo gruppo di risorse.

Portal di Azure
interfaccia della riga di comando di Azure

Passare alla pagina panoramica del gruppo di risorse che contiene l'app con l'identità gestita assegnata dall'utente.
Selezionare Controllo di accesso (IAM) nella navigazione a sinistra.
Nella pagina Controllo di accesso (IAM), seleziona + Aggiungi nel menu in alto e quindi scegli Aggiungi assegnazione di ruolo per passare alla pagina Aggiungi assegnazione di ruolo.

Screenshot che mostra come accedere alla pagina di assegnazione dei ruoli di identità.
La pagina Aggiungi assegnazione di ruolo presenta un flusso di lavoro a schede suddiviso in più passaggi per assegnare ruoli alle identità. Nella scheda iniziale Ruolo, usare la casella di ricerca in alto per individuare il ruolo da assegnare all'identità.
Selezionare il ruolo nei risultati e quindi scegliere Avanti per passare alla scheda Membri.
Per l'opzione Assegna accesso a, selezionare identità gestita.
Per l'opzione Membri, scegliere + Seleziona membri per aprire il pannello Seleziona identità gestite.
Nel pannello Seleziona identità gestite, utilizza i menu a tendina Sottoscrizione e Identità gestita per filtrare i risultati della ricerca delle tue identità. Usare la casella di ricerca Select per individuare l'identità gestita assegnata dall'utente abilitata per la risorsa Azure che ospita l'app.

Screenshot che mostra il processo di assegnazione dell'identità gestita.
Selezionare l'identità e scegliere Selezionare nella parte inferiore del pannello per continuare.
Selezionare Rivedi e assegna nella parte inferiore della pagina.
Nella scheda finale Rivedi e assegna, selezionare Rivedi e assegna per completare il flusso di lavoro.

Per assegnare un ruolo a un'identità gestita assegnata dall'utente utilizzando l'interfaccia della riga di comando di Azure, è necessario l'ID dell'entità dell'identità. Usare il comando per recuperare l'ID principale:
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query principalId
```

Usare il comando az role definition list per esplorare i ruoli a cui è possibile assegnare un'identità gestita:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Assegna un ruolo a un'identità gestita utilizzando il comando az role assignment create:
```
az role assignment create \
    --assignee <your-principal-id> \
    --role <role-name> \
    --scope <scope>
```
Ad esempio, per consentire all'identità gestita con l'ID dell'identità 99999999-9999-9999-9999-999999999999 l'accesso in lettura, scrittura ed eliminazione ai contenitori BLOB di Archiviazione di Azure e ai dati in tutti gli account di archiviazione, nel gruppo di risorse msdocs-sdk-auth-example, assegnare l'entità servizio dell'applicazione al ruolo Storage Blob Data Contributor usando il comando seguente.
```
az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
```

Per informazioni sull'assegnazione di autorizzazioni a livello di risorsa o sottoscrizione tramite il interfaccia della riga di comando di Azure, vedere l'articolo Assegnare ruoli Azure usando il interfaccia della riga di comando di Azure.

Autenticarsi ai servizi di Azure dalla tua app

La libreria Azure Identity offre diverse credenziali come implementazioni di TokenCredential. Ogni implementazione supporta diversi scenari e flussi di autenticazione Microsoft Entra. Per le identità gestite assegnate dall'utente, specificare l'ID client, l'ID risorsa o l'ID oggetto dell'identità quando si configurano le credenziali.

Implementare il codice

Aggiungere la dipendenza al file:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

È possibile accedere ai servizi Azure usando classi client specializzate dalle librerie client Azure SDK. Gli esempi di codice seguenti illustrano come configurare le credenziali per l'autenticazione dell'identità gestita assegnata dall'utente.

Usare DefaultAzureCredential

Usare DefaultAzureCredential come credenziale per le app ospitate Azure. Per le identità gestite assegnate dall'utente, configurare l'ID client usando il metodo :

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Configure DefaultAzureCredential with the user-assigned managed identity's client ID
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId("<user-assigned-managed-identity-client-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Usare ManagedIdentityCredential

Se si vuole usare in modo esplicito le credenziali dell'identità gestita ed evitare la ricerca della catena di credenziali in , usare direttamente . Per le identità gestite assegnate dall'utente, è possibile specificare l'identità usando l'ID client, l'ID risorsa o l'ID oggetto.

Cliente ID
ID risorsa
ID oggetto

Usare l'ID client per identificare un'identità gestita quando si configurano applicazioni o servizi che devono eseguire l'autenticazione usando tale identità.

Recuperare l'ID client assegnato a un'identità gestita assegnata dall'utente usando il comando seguente:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query clientId \
    --output tsv

Configurare con l'ID client:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the client ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .clientId("<user-assigned-managed-identity-client-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

L'ID risorsa è il percorso completo di Azure Resource Manager (ARM) verso la risorsa di identità gestita assegnata dall'utente.

Recuperare l'ID risorsa assegnato a un'identità gestita assegnata dall'utente usando il comando seguente:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query id \
    --output tsv

Configurare con il codice ID della risorsa:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the resource ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .resourceId("/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

L'ID oggetto è l'identificatore univoco del principal servizio dell'identità gestita in Microsoft Entra ID.

Recuperare l'ID oggetto assegnato a un'identità gestita assegnata dall'utente usando il comando seguente:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query principalId \
    --output tsv

Configurare con l'ID oggetto:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the object ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .objectId("<user-assigned-managed-identity-object-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Passaggi successivi

Questo articolo ha illustrato l'autenticazione usando un'identità gestita assegnata dall'utente. Questa forma di autenticazione è uno dei diversi modi in cui è possibile eseguire l'autenticazione nel Azure SDK per Java. Gli articoli seguenti descrivono altri modi per eseguire l'autenticazione:

Se si verificano problemi relativi all'autenticazione dell'applicazione ospitata Azure, vedere Troubleshoot Azure-hosted application authentication.

Dopo l'autenticazione master, vedere Configurare la registrazione nella Azure SDK per Java per informazioni sulle funzionalità di registrazione fornite dall'SDK.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-06