Autenticare l'accesso e le connessioni alle risorse di Azure con identità gestite in App per la logica di Azure

  • Articolo

Si applica a: App per la logica di Azure (consumo + standard)

Quando si usa un'identità gestita per autenticare l'accesso o le connessioni alle risorse protette da Microsoft Entra dal flusso di lavoro dell'app per la logica, non è necessario fornire credenziali, segreti o token Microsoft Entra. In App per la logica di Azure alcune operazioni del connettore supportano l'uso di un'identità gestita quando è necessario autenticare l'accesso alle risorse protette dall'ID Microsoft Entra. Azure gestisce questa identità e consente di proteggere le informazioni di autenticazione perché non è necessario gestire queste informazioni riservate. Per altre informazioni, vedere Cosa sono le identità gestite per le risorse di Azure.

App per la logica di Azure supporta identità gestita assegnata dal sistema e identità gestita assegnata dall'utente. L'elenco seguente descrive alcune differenze tra questi tipi di identità gestita:

  • Una risorsa dell'app per la logica può abilitare e usare un'unica identità assegnata dal sistema.

  • Una risorsa dell'app per la logica può condividere la stessa identità assegnata dall'utente in un gruppo di altre risorse dell'app per la logica.

Questa guida illustra come completare le attività seguenti:

  • Abilitare e configurare l'identità gestita assegnata dal sistema per la risorsa dell'app per la logica. Questa guida fornisce un esempio che illustra come usare l'identità per l'autenticazione.

  • Creare e configurare un'identità assegnata dall'utente. Questa guida illustra come creare un'identità assegnata dall'utente usando il modello di portale di Azure e Azure Resource Manager e come usare l'identità per l'autenticazione. Per Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST di Azure, vedere la documentazione seguente:

Strumento Documentazione
Azure PowerShell Creare un'identità assegnata dall'utente
Interfaccia della riga di comando di Azure Creare un'identità assegnata dall'utente
API REST di Azure Creare un'identità assegnata dall'utente

Consumo e app per la logica Standard

In base al tipo di risorsa dell'app per la logica, è possibile abilitare l'identità assegnata dal sistema, l'identità assegnata dall'utente o entrambe contemporaneamente:

App per la logica Ambiente Supporto delle identità gestite
Consumo - App per la logica di Azure multi-tenant

- Ambiente del servizio di integrazione (I edizione Standard)		 - L'app per la logica può abilitare l'identità assegnata dal sistema o l'identità assegnata dall'utente.

- È possibile usare l'identità gestita a livello di risorsa e connessione dell'app per la logica.

- Se si abilita l'identità assegnata dall'utente, l'app per la logica può avere una sola identità assegnata dall'utente alla volta.
Standard - App per la logica di Azure a tenant singolo

- ambiente del servizio app v3 (A edizione Standard v3)

- App per la logica abilitate per Azure Arc		 - È possibile abilitare sia l'identità assegnata dal sistema, abilitata per impostazione predefinita, sia l'identità assegnata dall'utente contemporaneamente.

- È possibile usare l'identità gestita a livello di risorsa e connessione dell'app per la logica.

- Se si abilita l'identità assegnata dall'utente, la risorsa dell'app per la logica può avere più identità assegnate dall'utente contemporaneamente.

Per informazioni sui limiti delle identità gestite in App per la logica di Azure, vedere Limiti sulle identità gestite per le app per la logica. Per altre informazioni sui tipi di risorse e gli ambienti di app per la logica Consumo e Standard, vedere la documentazione seguente:

Dove è possibile usare un'identità gestita

In App per la logica di Azure, solo le operazioni del connettore predefinite e gestite specifiche che supportano OAuth con l'ID Microsoft Entra possono usare un'identità gestita per l'autenticazione. Le tabelle seguenti forniscono solo una selezione di esempio. Per un elenco più completo, vedere Tipi di autenticazione per trigger e azioni che supportano l'autenticazione e i servizi di Azure che supportano l'autenticazione di Microsoft Entra con identità gestite.

Per un flusso di lavoro dell'app per la logica a consumo, nella tabella seguente sono elencati i connettori che supportano l'autenticazione dell'identità gestita:

Tipo di connettore Connettori supportati
Predefinito - Azure Gestione API
- Servizi app Azure
- Funzioni di Azure
- HTTP
- HTTP + Webhook

Nota: le operazioni HTTP possono autenticare le connessioni agli account Archiviazione di Azure dietro i firewall di Azure con l'identità assegnata dal sistema. Tuttavia, non supportano l'identità gestita assegnata dall'utente per l'autenticazione delle stesse connessioni.
Gestita - Servizio app Azure
- Automazione di Azure
- Archiviazione BLOB di Azure
- Istanza di Azure Container
- Azure Cosmos DB
- Azure Esplora dati
- Azure Data Factory
- Azure Data Lake
- Griglia di eventi di Azure
- Hub eventi di Azure
- Azure IoT Central V2
- Azure IoT Central V3
- Azure Key Vault
- Azure Log Analytics
- Code di Azure
- Azure Resource Manager
- bus di servizio di Azure
- Azure Sentinel
- Archiviazione tabelle di Azure
- Macchina virtuale di Azure
- HTTP con Microsoft Entra ID
- SQL Server

Prerequisiti

  • Account e sottoscrizione di Azure. Se non si ha una sottoscrizione, è possibile iscriversi per creare un account Azure gratuito. È necessario che l'identità gestita e la risorsa di destinazione di Azure a cui accedere usino la stessa sottoscrizione di Azure.

  • La risorsa di destinazione di Azure a cui si vuole accedere. In questa risorsa si aggiungerà il ruolo necessario per l'identità gestita per accedere a tale risorsa per conto dell'app per la logica o per conto della connessione. Per aggiungere un ruolo a un'identità gestita, sono necessarie autorizzazioni di amministratore di Microsoft Entra che possono assegnare ruoli alle identità nel tenant Microsoft Entra corrispondente.

  • La risorsa e il flusso di lavoro dell'app per la logica in cui si vuole usare il trigger o le azioni che supportano le identità gestite.

Abilitare l'identità assegnata dal sistema nel portale di Azure

  1. Nella portale di Azure aprire la risorsa dell'app per la logica.

  2. Nel menu dell'app per la logica, in Impostazioni, selezionare Identità.

  3. Nella pagina Identità, in Assegnata dal sistema, selezionare Su>Salva. Quando Azure chiede di confermare, selezionare .

    Screenshot shows Azure portal, Consumption logic app, Identity page, and System assigned tab with selected options, On and Save.

    Nota

    Se viene visualizzato un errore che indica che è possibile avere una sola identità gestita, la risorsa dell'app per la logica è già associata all'identità assegnata dall'utente. Prima di poter aggiungere l'identità assegnata dal sistema, è necessario rimuovere l'identità assegnata dall'utente dalla risorsa dell'app per la logica.

    La risorsa dell'app per la logica può ora usare l'identità assegnata dal sistema. Questa identità viene registrata con Microsoft Entra ID ed è rappresentata da un ID oggetto.

    Screenshot shows Consumption logic app, Identity page, and object ID for system-assigned identity.

    Proprietà Valore Descrizione
    ID oggetto (entità) <identity-resource-ID> Identificatore univoco globale (GUID) che rappresenta l'identità assegnata dal sistema per l'app per la logica in un tenant di Microsoft Entra.

  4. Seguire ora i passaggi che consentono all'identità di accedere alla risorsa più avanti in questa guida.

Abilitare l'identità assegnata dal sistema in un modello di Resource Manager

Per automatizzare la creazione e la distribuzione delle risorse dell'app per la logica, è possibile usare un modello di Resource Manager. Per abilitare l'identità assegnata dal sistema per la risorsa dell'app per la logica nel modello, aggiungere l'oggetto identity e la type proprietà figlio alla definizione della risorsa dell'app per la logica nel modello, ad esempio:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Quando Azure crea la definizione di risorsa dell'app per la logica, l'oggetto identity ottiene queste altre proprietà:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Proprietà (JSON) Valore Descrizione
principalId <principal-ID> Identificatore univoco globale (GUID) dell'oggetto entità servizio per l'identità gestita che rappresenta l'app per la logica nel tenant di Microsoft Entra. Questo GUID viene talvolta visualizzato come "ID oggetto" o objectID.
tenantId <Azure-AD-tenant-ID> Identificatore univoco globale (GUID) che rappresenta il tenant di Microsoft Entra in cui l'app per la logica è ora membro. All'interno del tenant di Microsoft Entra, l'entità servizio ha lo stesso nome dell'istanza dell'app per la logica.

Creare un'identità assegnata dall'utente nel portale di Azure

Prima di abilitare l'identità assegnata dall'utente nella risorsa dell'app per la logica a consumo o nella risorsa dell'app per la logica Standard, è necessario creare tale identità come risorsa di Azure separata.

  1. Nella casella di ricerca portale di Azure immettere identità gestite e selezionare Identità gestite.

    Screenshot shows Azure portal with selected option named Managed Identities.

  2. Nella pagina Identità gestite selezionare Crea.

    Screenshot shows Managed Identities page and selected option for Create.

  3. Fornire informazioni sull'identità gestita e selezionare Rivedi e crea, ad esempio:

    Screenshot shows page named Create User Assigned Managed Identity, with managed identity details.

    Proprietà Richiesto Valore Descrizione
    Abbonamento <Azure-subscription-name> Nome della sottoscrizione di Azure
    Gruppo di risorse <Azure-resource-group-name> Nome del gruppo di risorse di Azure. Creare un nuovo gruppo o selezionare un gruppo esistente. In questo esempio viene creato un nuovo gruppo denominato fabrikam-managed-identities-RG.
    Area <Area di Azure> Area di Azure in cui archiviare le informazioni sulla risorsa. Questo esempio usa Stati Uniti occidentali.
    Nome <user-assigned-identity-name> Nome da assegnare all'identità assegnata dall'utente. Questo esempio usa Fabrikam-user-assigned-identity.

    Dopo che Azure convalida le informazioni, Azure crea l'identità gestita. È ora possibile aggiungere l'identità assegnata dall'utente alla risorsa dell'app per la logica.

Aggiungere un'identità assegnata dall'utente all'app per la logica nel portale di Azure

  1. Nella portale di Azure aprire la risorsa dell'app per la logica.

  2. Nel menu dell'app per la logica, in Impostazioni, selezionare Identità.

  3. Nella pagina Identità selezionare Aggiungi assegnato dall'utente>.

    Screenshot shows Consumption logic app and Identity page with selected option for Add.

  4. Nel riquadro Aggiungi identità gestita assegnata dall'utente seguire questa procedura:

    1. Nell'elenco Sottoscrizione selezionare la sottoscrizione di Azure.

    2. Nell'elenco con tutte le identità gestite nella sottoscrizione selezionare l'identità assegnata dall'utente desiderata. Per filtrare l'elenco, nella casella di ricerca Identità gestite assegnate dall'utente immettere il nome per l'identità o il gruppo di risorse.

      Screenshot shows Consumption logic app and selected user-assigned identity.

    3. Al termine, selezionare Aggiungi.

      Nota

      Se viene visualizzato un errore che indica che è possibile avere una sola identità gestita, l'app per la logica è già associata all'identità assegnata dal sistema. Prima di poter aggiungere l'identità assegnata dall'utente, è necessario disabilitare l'identità assegnata dal sistema.

    L'app per la logica è ora associata all'identità gestita assegnata dall'utente.

    Screenshot shows Consumption logic app with associated user-assigned identity.

  5. Seguire ora i passaggi che consentono all'identità di accedere alla risorsa più avanti in questa guida.

Creare un'identità assegnata dall'utente in un modello di Resource Manager

Per automatizzare la creazione e la distribuzione delle risorse dell'app per la logica, è possibile usare un modello di Resource Manager. Questi modelli supportano le identità assegnate dall'utente per l'autenticazione.

Nella sezione resources del modello la definizione di risorsa dell'app per la logica richiede gli elementi seguenti:

  • Un oggetto identity con la proprietà type impostata su UserAssigned

  • Oggetto figlio userAssignedIdentities che specifica la risorsa e il nome assegnati dall'utente

Questo esempio mostra una risorsa dell'app per la logica a consumo e una definizione del flusso di lavoro per una richiesta HTTP PUT con un oggetto non con identity parametri. La risposta alla richiesta PUT e all'operazione GET successiva include anche questo identity oggetto:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Se il modello include anche la definizione di risorsa dell'identità gestita, è possibile parametrizzare l'oggetto identity. Nell'esempio seguente viene illustrato come l'oggetto figlio userAssignedIdentities faccia riferimento a una userAssignedIdentityName variabile definita nella sezione del variables modello. Questa variabile fa riferimento all'ID risorsa per l'identità assegnata dall'utente.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Concedere all'identità l'accesso alle risorse

Prima di poter usare l'identità gestita dell'app per la logica per l'autenticazione, è necessario configurare l'accesso per l'identità nella risorsa di Azure in cui si vuole usare l'identità. Il modo in cui si configura l'accesso varia in base alla risorsa a cui si vuole accedere l'identità.

Nota

Quando un'identità gestita ha accesso a una risorsa di Azure nella stessa sottoscrizione, l'identità può accedere solo a tale risorsa. Tuttavia, in alcuni trigger e azioni che supportano le identità gestite, è necessario prima selezionare il gruppo di risorse di Azure che contiene la risorsa di destinazione. Se l'identità non ha accesso a livello di gruppo di risorse, non sono elencate risorse in tale gruppo, nonostante l'accesso alla risorsa di destinazione.

Per gestire questo comportamento, è anche necessario concedere all'identità l'accesso al gruppo di risorse, non solo alla risorsa. Analogamente, se è necessario selezionare la sottoscrizione prima di poter selezionare la risorsa di destinazione, è necessario concedere all'identità l'accesso alla sottoscrizione.

In alcuni casi, potrebbe essere necessaria l'identità per ottenere l'accesso alla risorsa associata. Si supponga, ad esempio, di avere un'identità gestita per un'app per la logica che deve accedere per aggiornare le impostazioni dell'applicazione per la stessa app per la logica da un flusso di lavoro. È necessario concedere a tale identità l'accesso all'app per la logica associata.

Ad esempio, per accedere a un account di archiviazione BLOB di Azure con l'identità gestita, è necessario configurare l'accesso usando il controllo degli accessi in base al ruolo di Azure e assegnare il ruolo appropriato per tale identità all'account di archiviazione. I passaggi descritti in questa sezione descrivono come completare questa attività usando il modello portale di Azure e il modello di Azure Resource Manager (modello di Resource Manager). Per Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST di Azure, vedere la documentazione seguente:

Strumento Documentazione
Azure PowerShell Aggiungi assegnazione di ruolo
Interfaccia della riga di comando di Azure Aggiungi assegnazione di ruolo
API REST di Azure Aggiungi assegnazione di ruolo

Tuttavia, per accedere a un insieme di credenziali delle chiavi di Azure con l'identità gestita, è necessario creare un criterio di accesso per tale identità nell'insieme di credenziali delle chiavi e assegnare le autorizzazioni appropriate per tale identità nell'insieme di credenziali delle chiavi. I passaggi successivi di questa sezione descrivono come completare questa attività usando il portale di Azure. Per i modelli di Resource Manager, PowerShell e l'interfaccia della riga di comando di Azure, vedere la documentazione seguente:

Strumento Documentazione
Modello di Azure Resource Manager (modello di ARM) Definizione della risorsa dei criteri di accesso di Key Vault
Azure PowerShell Assegnare criteri di accesso a Key Vault
Interfaccia della riga di comando di Azure Assegnare criteri di accesso a Key Vault

Assegnare l'accesso basato sui ruoli dell'identità gestita nel portale di Azure

Per usare un'identità gestita per l'autenticazione, alcune risorse di Azure, ad esempio gli account di archiviazione di Azure, richiedono di assegnare tale identità a un ruolo con le autorizzazioni appropriate per la risorsa di destinazione. Per altre risorse di Azure, ad esempio gli insiemi di credenziali delle chiavi di Azure, è necessario creare criteri di accesso con le autorizzazioni appropriate per la risorsa di destinazione per tale identità.

  1. Nella portale di Azure aprire la risorsa in cui si vuole usare l'identità.

  2. Nel menu della risorsa selezionare Controllo di accesso (IAM)>Aggiungi>assegnazione di ruolo.

    Nota

    Se l'opzione Aggiungi assegnazione di ruolo è disabilitata, non si dispone delle autorizzazioni per assegnare i ruoli. Per altre informazioni, vedere Ruoli predefiniti di Microsoft Entra.

  3. Assegnare ora il ruolo necessario all'identità gestita. Nella scheda Ruolo assegnare un ruolo che fornisce all'identità l'accesso necessario alla risorsa corrente.

    Per questo esempio, assegnare il ruolo denominato Archiviazione Collaboratore dati BLOB, che include l'accesso in scrittura per i BLOB in un contenitore Archiviazione di Azure. Per altre informazioni sui ruoli specifici del contenitore di archiviazione, vedere Ruoli che possono accedere ai BLOB in un contenitore Archiviazione di Azure.

  4. Scegliere quindi l'identità gestita in cui si vuole assegnare il ruolo. In Assegna accesso a selezionare Identità gestita>Aggiungi membri.

  5. In base al tipo di identità gestita, selezionare o specificare i valori seguenti:

    Tipo Istanza del servizio di Azure Abbonamento Membro
    Assegnata dal sistema App per la logica <Azure-subscription-name> <nome-app-per-la-logica>
    Assegnata dall'utente Non applicabile <Azure-subscription-name> <your-user-assigned-identity-name>

    Per altre informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli usando il portale di Azure.

  6. Al termine, è possibile usare l'identità per autenticare l'accesso per trigger e azioni che supportano le identità gestite.

Per informazioni più generali su questa attività, vedere Assegnare un accesso all'identità gestita a un'altra risorsa usando il controllo degli accessi in base al ruolo di Azure.

Creare criteri di accesso nel portale di Azure

Per usare un'identità gestita per l'autenticazione, alcune risorse di Azure, ad esempio gli insiemi di credenziali delle chiavi di Azure, richiedono di creare criteri di accesso con le autorizzazioni appropriate per la risorsa di destinazione per tale identità. Per altre risorse di Azure, ad esempio gli account di archiviazione di Azure, è necessario assegnare tale identità a un ruolo con le autorizzazioni appropriate per la risorsa di destinazione.

  1. Nella portale di Azure aprire la risorsa di destinazione in cui si vuole usare l'identità. Questo esempio usa un insieme di credenziali delle chiavi di Azure come risorsa di destinazione.

  2. Nel menu della risorsa selezionare Criteri>di accesso Crea, che apre il riquadro Crea criteri di accesso.

    Nota

    Se la risorsa non ha l'opzione Criteri di accesso , provare ad assegnare invece un'assegnazione di ruolo.

    Screenshot shows Azure portal and key vault example with open pane named Access policies.

  3. Nella scheda Autorizzazioni selezionare le autorizzazioni necessarie per l'identità per accedere alla risorsa di destinazione.

    Ad esempio, per usare l'identità con l'operazione List secrets del connettore Azure Key Vault gestita, l'identità necessita delle autorizzazioni List. Quindi, nella colonna Autorizzazioni segrete selezionare Elenco.

    Screenshot shows Permissions tab with selected List permissions.

  4. Quando si è pronti, selezionare Avanti. Nella scheda Entità individuare e selezionare l'identità gestita, ovvero un'identità assegnata dall'utente in questo esempio.

  5. Ignorare il passaggio facoltativo Applicazione , selezionare Avanti e completare la creazione dei criteri di accesso.

La sezione successiva illustra l'uso di un'identità gestita per autenticare l'accesso per un trigger o un'azione. L'esempio continua con i passaggi di una sezione precedente in cui si configura l'accesso per un'identità gestita usando il controllo degli accessi in base al ruolo e non usa Azure Key Vault come esempio. Tuttavia, i passaggi generali per usare un'identità gestita per l'autenticazione sono gli stessi.

Eseguire l'autenticazione dell'accesso con l'identità gestita

Dopo aver abilitato l'identità gestita per la risorsa dell'app per la logica e concedere a tale identità l'accesso alla risorsa o all'entità di destinazione, è possibile usare tale identità nei trigger e nelle azioni che supportano le identità gestite.

Importante

Se si ha una funzione di Azure in cui si vuole usare l'identità assegnata dal sistema, abilitare prima l'autenticazione per Funzioni di Azure.

Questa procedura mostra come usare l'identità gestita con un trigger o un'azione attraverso il portale di Azure. Per specificare l'identità gestita nella definizione JSON sottostante di un trigger o di un'azione, vedere Autenticazione dell'identità gestita.

  1. Nella portale di Azure aprire la risorsa dell'app per la logica.

  2. Se non è ancora stato fatto, aggiungere il trigger o l'azione che supporta le identità gestite.

    Nota

    Non tutte le operazioni del connettore supportano l'aggiunta di un tipo di autenticazione. Per altre informazioni, vedere Tipi di autenticazione per trigger e azioni che supportano l'autenticazione.

  3. Nel trigger o nell'azione aggiunta seguire questa procedura:

    • Operazioni predefinite del connettore che supportano l'autenticazione dell'identità gestita

      1. Nell'elenco Aggiungi nuovo parametro aggiungere la proprietà Authentication se la proprietà non è già visualizzata.

        Screenshot shows Consumption workflow with built-in action and opened list named Add new parameter, with selected option for Authentication.

      2. Nell'elenco Tipo di autenticazione selezionare Identità gestita.

        Screenshot shows Consumption workflow with built-in action and opened list named Authentication type, with selected option for Managed identity.

      Per altre informazioni, vedere Esempio: Autenticare un trigger o un'azione predefinita con un'identità gestita.

    • Operazioni del connettore gestito che supportano l'autenticazione dell'identità gestita

      1. Nella pagina di selezione del tenant selezionare Connessione con identità gestita, ad esempio:

        Screenshot shows Consumption workflow with Azure Resource Manager action and selected option for Connect with managed identity.

      2. Nella pagina successiva, per Connessione nome, specificare un nome da usare per la connessione.

      3. Per il tipo di autenticazione, scegliere una delle opzioni seguenti in base al connettore gestito:

        • Autenticazione singola: questi connettori supportano un solo tipo di autenticazione. Nell'elenco Identità gestita selezionare l'identità gestita attualmente abilitata, se non è già selezionata e quindi selezionare Crea, ad esempio:

          Screenshot shows Consumption workflow, connection name box, and selected option for system-assigned managed identity.

        • Autenticazione multipla: questi connettori mostrano più tipi di autenticazione, ma è comunque possibile selezionare un solo tipo. Nell'elenco Tipo di autenticazione selezionare App per la logica Managed Identity>Create, ad esempio:

          Screenshot shows Consumption workflow, connection name box, and selected option for Logic Apps Managed Identity.

        Per altre informazioni, vedere Esempio: Autenticare il trigger o l'azione del connettore gestito con un'identità gestita.

Esempio: Autenticare un trigger o un'azione predefinita con un'identità gestita

Il trigger HTTP predefinito o l'azione possono usare l'identità assegnata dal sistema abilitata nella risorsa dell'app per la logica. In generale, il trigger HTTP o l'azione usa le proprietà seguenti per specificare la risorsa o l'entità a cui si vuole accedere:

Proprietà Richiesto Descrizione
Metodo Il metodo HTTP usato dall'operazione che si vuole eseguire
URI L'URL dell'endpoint per l'accesso alla risorsa o all'entità di destinazione di Azure. La sintassi dell'URI include in genere l'ID risorsa per la risorsa o il servizio di Azure.
Intestazioni No Eventuali valori di intestazione necessari o che si vuole includere nella richiesta in uscita, ad esempio il tipo di contenuto
Query No Tutti i parametri di query necessari o da includere nella richiesta. Ad esempio, i parametri di query per un'operazione specifica o per la versione API dell'operazione che si vuole eseguire.
autenticazione Il tipo di autenticazione da usare per autenticare l'accesso alla risorsa o all'entità di destinazione

Come esempio specifico, si supponga di voler eseguire l'operazione Snapshot BLOB in un BLOB nell'account di archiviazione di Azure in cui è stato precedentemente configurato l'accesso per l'identità. Tuttavia, il connettore di archiviazione BLOB di Azure attualmente non offre questa operazione. In alternativa, è possibile eseguire questa operazione usando l'azione HTTP o un'altra operazione dell'API REST del servizio BLOB.

Importante

Per accedere agli account di archiviazione di Azure protetti da firewall usando il connettore BLOB di Azure e le identità gestite, assicurarsi di configurare anche l'account di archiviazione con l'eccezione che consente l'accesso da servizi Microsoft attendibili.

Per eseguire l'operazione Snapshot BLOB, l'azione HTTP specifica le proprietà seguenti:

Proprietà Richiesto Valore di esempio Descrizione
Metodo PUT Il metodo HTTP usato dall'operazione Snapshot BLOB
URI https://<storage-account-name>/<folder-name>/{name} L'ID risorsa per un file di archiviazione BLOB di Azure nell'ambiente globale (pubblico) di Azure che usa questa sintassi
Intestazioni Per Archiviazione di Azure x-ms-blob-type = BlockBlob

x-ms-version = 2019-02-02

x-ms-date = @{formatDateTime(utcNow(),'r')}

 I x-ms-blob-typevalori di intestazione , x-ms-versione x-ms-date sono necessari per le operazioni di Archiviazione di Azure.

Importante: nelle richieste di trigger e azioni HTTP in uscita per Archiviazione di Azure, l'intestazione richiede la x-ms-version proprietà e la versione dell'API per l'operazione che si vuole eseguire. Deve x-ms-date essere la data corrente. In caso contrario, il flusso di lavoro ha esito negativo con un 403 FORBIDDEN errore. Per ottenere la data corrente nel formato richiesto, è possibile usare l'espressione nel valore di esempio.

Per altre informazioni, vedere la documentazione seguente:

- Intestazioni delle richieste - Snapshot BLOB
- Controllo delle versioni per i servizi di Archiviazione di Azure
Query Solo per l'operazione snapshot BLOB comp = snapshot Nome e valore del parametro di query per l'operazione.

L'esempio seguente mostra un'azione HTTP di esempio con tutti i valori di proprietà descritti in precedenza da usare per l'operazione SNAPSHOT BLOB:

Screenshot shows Azure portal, Consumption workflow, and HTTP action set up to access resources.

  1. Dopo aver aggiunto l'azione HTTP, aggiungere la proprietà Authentication all'azione HTTP. Dall'elenco Aggiungi nuovo parametro selezionare Autenticazione.

    Screenshot shows Consumption workflow with HTTP action and opened Add new parameter list with selected property named Authentication.

    Nota

    Non tutti i trigger e le azioni supportano l'aggiunta di un tipo di autenticazione. Per altre informazioni, vedere Tipi di autenticazione per trigger e azioni che supportano l'autenticazione.

  2. Nell'elenco Tipo di autenticazione selezionare Identità gestita.

    Screenshot shows Consumption workflow, HTTP action, and Authentication property with selected option for Managed identity.

  3. Dall'elenco delle identità gestite selezionare una delle opzioni disponibili in base allo scenario.

    • Se si configura l'identità assegnata dal sistema, selezionare Identità gestita assegnata dal sistema, se non è già selezionata.

      Screenshot shows Consumption workflow, HTTP action, and Managed identity property with selected option for System-assigned managed identity.

    • Se si configura un'identità assegnata dall'utente, selezionare l'identità, se non è già selezionata.

      Screenshot shows Consumption workflow, HTTP action, and Managed identity property with selected user-assigned identity.

    Questo esempio continua con l'identità gestita assegnata dal sistema.

  4. In alcuni trigger e azioni viene visualizzata anche la proprietà Destinatari che consente di impostare l'ID risorsa di destinazione. Impostare la proprietà Destinatari sull'ID di risorsa per la risorsa o il servizio di destinazione. In caso contrario, per impostazione predefinita, la proprietà Destinatari usa l'ID risorsa https://management.azure.com/ che è l'ID risorsa per Azure Resource Manager.

    Ad esempio, se si vuole autenticare l'accesso a una risorsa di Key Vault nel cloud di Azure globale, è necessario impostare la proprietà Audience sull'ID risorsa seguente: https://vault.azure.net. Questo ID risorsa specifico non ha barre finali. Infatti, l'inclusione di una barra finale potrebbe generare un 400 Bad Request errore o un 401 Unauthorized errore.

    Importante

    Assicurarsi che l'ID risorsa di destinazione corrisponda esattamente al valore previsto da Microsoft Entra ID, incluse le barre finali necessarie. Ad esempio, l'ID risorsa per tutti gli account di archiviazione BLOB di Azure richiede una barra finale. Tuttavia, l'ID risorsa per un account di archiviazione specifico non richiede una barra finale. Controllare gli ID risorsa per i servizi di Azure che supportano Microsoft Entra ID.

    Questo esempio imposta la proprietà Destinatari su https://storage.azure.com/ in modo che i token di accesso usati per l'autenticazione siano validi per tutti gli account di archiviazione. Tuttavia, è anche possibile specificare l'URL del servizio radice, https://<your-storage-account>.blob.core.windows.net per un account di archiviazione specifico.

    Screenshot shows Consumption workflow, HTTP action, and Audience

    Per altre informazioni sull'autorizzazione dell'accesso con Microsoft Entra ID per Archiviazione di Azure, vedere la documentazione seguente:

  5. Continuare a compilare il flusso di lavoro nel modo desiderato.

Esempio: Autenticare il trigger o l'azione del connettore gestito con un'identità gestita

Il connettore gestito di Azure Resource Manager ha un'azione denominata Lettura di una risorsa, che può usare l'identità gestita abilitata nella risorsa dell'app per la logica. Questo esempio illustra come usare l'identità gestita assegnata dal sistema.

  1. Dopo aver aggiunto l'azione al flusso di lavoro e aver selezionato il tenant di Microsoft Entra, selezionare Connessione con identità gestita.

    Screenshot shows Consumption workflow, Azure Resource Manager action, and selected option for Connect with managed identity.

  2. Nella pagina del nome della connessione specificare un nome per la connessione e selezionare l'identità gestita da usare.

    L'azione di Azure Resource Manager è un'azione di autenticazione singola, quindi la casella informazioni di connessione mostra un elenco identità gestita che seleziona automaticamente l'identità gestita attualmente abilitata nella risorsa dell'app per la logica. Se è stata abilitata un'identità gestita assegnata dal sistema, l'elenco Identità gestita seleziona l'identità gestita assegnata dal sistema. Se invece è stata abilitata un'identità gestita assegnata dall'utente, l'elenco seleziona tale identità.

    Se si usa un trigger o un'azione di autenticazione multipla, ad esempio Archiviazione BLOB di Azure, nella casella informazioni di connessione viene visualizzato un elenco Tipo di autenticazione che include l'opzione Identità gestita di App per la logica tra gli altri tipi di autenticazione.

    In questo esempio, l'identità gestita assegnata dal sistema è l'unica selezione disponibile.

    Screenshot shows Consumption workflow and Azure Resource Manager action with connection name entered and selected option for System-assigned managed identity.

    Nota

    Se l'identità gestita non è abilitata quando si tenta di creare la connessione, modificare la connessione o è stata rimossa mentre esiste ancora una connessione abilitata per l'identità gestita, viene visualizzato un errore che indica che è necessario abilitare l'identità e concedere l'accesso alla risorsa di destinazione.

  3. Al termine, selezionare Crea.

  4. Dopo che la finestra di progettazione ha creato correttamente la connessione, la finestra di progettazione può recuperare tutti i valori dinamici, il contenuto o lo schema usando l'autenticazione dell'identità gestita.

  5. Continuare a compilare il flusso di lavoro nel modo desiderato.

Definizione e connessioni delle risorse dell'app per la logica che usano un'identità gestita

Una connessione che abilita e usa un'identità gestita è un tipo di connessione speciale che funziona solo con un'identità gestita. In fase di esecuzione, la connessione usa l'identità gestita abilitata nella risorsa dell'app per la logica. In fase di esecuzione, il servizio App per la logica di Azure verifica se un trigger e azioni del connettore gestito nel flusso di lavoro dell'app per la logica è configurato per usare l'identità gestita e che tutte le autorizzazioni necessarie sono configurate per usare l'identità gestita per accedere alle risorse di destinazione specificate dal trigger e dalle azioni. In caso di esito positivo, App per la logica di Azure recupera il token Microsoft Entra associato all'identità gestita e usa tale identità per autenticare l'accesso alla risorsa di destinazione ed eseguire l'operazione configurata in trigger e azioni.

In una risorsa dell'app per la logica a consumo la configurazione della connessione viene salvata nell'oggetto della definizione della risorsa dell'app parameters per la logica, che contiene l'oggetto $connections che include puntatori all'ID risorsa della connessione insieme all'ID risorsa dell'identità, se l'identità assegnata dall'utente è abilitata.

Questo esempio mostra l'aspetto della configurazione quando l'app per la logica abilita l'identità gestita assegnata dal sistema:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Questo esempio mostra l'aspetto della configurazione quando l'app per la logica abilita un'identità gestita assegnata dall'utente :

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Modello di Resource Manager per le connessioni API e le identità gestite

Se si usa un modello di Resource Manager per automatizzare la distribuzione e il flusso di lavoro include una connessione API, creata da un connettore gestito, ad esempio Office 365 Outlook, Azure Key Vault e così via, che usa un'identità gestita, è necessario eseguire un passaggio aggiuntivo.

In un modello di Resource Manager, la definizione di risorsa connettore sottostante è diversa a seconda che si disponga di un'app per la logica Consumption o Standard e che il connettore mostri opzioni di autenticazione singola o multiutenticazione.

Gli esempi seguenti si applicano alle risorse dell'app per la logica a consumo e mostrano come la definizione della risorsa connettore sottostante differisce tra un connettore con autenticazione singola, ad esempio Automazione di Azure e un connettore con autenticazione multipla, ad esempio Archiviazione BLOB di Azure.

Autenticazione singola

Questo esempio mostra la definizione di risorsa di connessione sottostante per un'azione Automazione di Azure in un'app per la logica a consumo che usa un'identità gestita in cui la definizione include gli attributi:

  • La kind proprietà è impostata su V1 per un'app per la logica a consumo.
  • La proprietà parameterValueType è impostata su Alternative.
{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_azureautomation_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_azureautomation_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Autenticazione multipla

Questo esempio mostra la definizione di risorsa di connessione sottostante per un'azione Archiviazione BLOB di Azure in un'app per la logica a consumo che usa un'identità gestita in cui la definizione include gli attributi seguenti:

  • La kind proprietà è impostata su V1 per un'app per la logica a consumo.
  • L'oggetto parameterValueSet include una name proprietà impostata su managedIdentityAuth e una values proprietà impostata su un oggetto vuoto.
{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_azureblob_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureblob')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_azureblob_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        },
        "parameterValueType": "Alternative"
    }
}

Configurare il controllo avanzato sull'autenticazione della connessione API

Quando il flusso di lavoro usa una connessione API, creata da un connettore gestito, ad esempio Office 365 Outlook, Azure Key Vault e così via, il servizio App per la logica di Azure comunica con la risorsa di destinazione, ad esempio l'account di posta elettronica, l'insieme di credenziali delle chiavi e così via, usando due connessioni:

Conceptual diagram showing first connection with authentication between logic app and token store plus second connection between token store and target resource.

  • Connessione ion #1 è configurato con l'autenticazione per l'archivio token interno.

  • Connessione ion n. 2 è configurato con l'autenticazione per la risorsa di destinazione.

In una risorsa dell'app per la logica a consumo la connessione n. 1 viene astratta dall'utente senza alcuna opzione di configurazione. Nel tipo di risorsa dell'app per la logica Standard si ha maggiore controllo sull'app per la logica. Per impostazione predefinita, la connessione n. 1 viene configurata automaticamente per l'uso dell'identità assegnata dal sistema.

Tuttavia, se lo scenario richiede un controllo più corretto sull'autenticazione delle connessioni API, facoltativamente è possibile modificare l'autenticazione per la connessione #1 dall'identità assegnata dal sistema predefinita a qualsiasi identità assegnata dall'utente aggiunta all'app per la logica. Questa autenticazione si applica a ogni connessione API, quindi è possibile combinare identità assegnate dal sistema e assegnate dall'utente tra connessioni diverse alla stessa risorsa di destinazione.

Nel file connections.json dell'app per la logica Standard, che archivia informazioni su ogni connessione API, ogni definizione di connessione ha due authentication sezioni, ad esempio:

"keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  • La prima authentication sezione esegue il mapping alla connessione n. 1. Questa sezione descrive l'autenticazione usata per comunicare con l'archivio token interno. In passato, questa sezione era sempre impostata su ManagedServiceIdentity per un'app che viene distribuita in Azure e non aveva opzioni configurabili.

  • La seconda authentication sezione esegue il mapping alla connessione n. 2. Questa sezione descrive l'autenticazione usata per comunicare con la risorsa di destinazione può variare in base al tipo di autenticazione selezionato per tale connessione.

Perché modificare l'autenticazione per l'archivio token?

In alcuni scenari, è possibile condividere e usare la stessa connessione API tra più app per la logica, ma non aggiungere l'identità assegnata dal sistema per ogni app per la logica ai criteri di accesso della risorsa di destinazione.

In altri scenari, potrebbe non essere necessario configurare completamente l'identità assegnata dal sistema nell'app per la logica, in modo da poter modificare completamente l'autenticazione in un'identità assegnata dall'utente e disabilitare completamente l'identità assegnata dal sistema.

Modificare l'autenticazione per l'archivio token

  1. Nella portale di Azure aprire la risorsa dell'app per la logica Standard.

  2. Nel menu delle risorse, in Flussi di lavoro selezionare Connessione ions.

  3. Nel riquadro Connessione ions selezionare Visualizzazione JSON.

    Screenshot showing the Azure portal, Standard logic app resource,

  4. Nell'editor JSON trovare la managedApiConnections sezione che contiene le connessioni API in tutti i flussi di lavoro nella risorsa dell'app per la logica.

  5. Trovare la connessione in cui si vuole aggiungere un'identità gestita assegnata dall'utente. Si supponga, ad esempio, che il flusso di lavoro abbia una connessione di Azure Key Vault:

    "keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity"
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  6. Nella definizione di connessione completare i passaggi seguenti:

    1. Trovare la prima authentication sezione. Se in questa authentication sezione non esiste già alcuna identity proprietà, l'app per la logica usa in modo implicito l'identità assegnata dal sistema.

    2. Aggiungere una identity proprietà usando l'esempio in questo passaggio.

    3. Impostare il valore della proprietà sull'ID risorsa per l'identità assegnata dall'utente.

    "keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
      // Add "identity" property here
      "identity": "/subscriptions/{Azure-subscription-ID}/resourcegroups/{resource-group-name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identity-resource-ID}" 
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  7. Nella portale di Azure passare alla risorsa di destinazione e concedere l'accesso all'identità gestita assegnata dall'utente, in base alle esigenze della risorsa di destinazione.

    Ad esempio, per Azure Key Vault, aggiungere l'identità ai criteri di accesso dell'insieme di credenziali delle chiavi. Per Archiviazione BLOB di Azure, assegnare il ruolo necessario per l'identità all'account di archiviazione.

Disabilitare l'identità gestita

Per interrompere l'uso dell'identità gestita per l'autenticazione, rimuovere prima di tutto l'accesso dell'identità alla risorsa di destinazione. Successivamente, nella risorsa dell'app per la logica disattivare l'identità assegnata dal sistema o rimuovere l'identità assegnata dall'utente.

Quando si disabilita l'identità gestita nella risorsa dell'app per la logica, si rimuove la funzionalità per tale identità per richiedere l'accesso alle risorse di Azure a cui l'identità ha accesso.

Nota

Se si disabilita l'identità assegnata dal sistema, tutte le connessioni usate dai flussi di lavoro dell'app per la logica non funzioneranno in fase di esecuzione, anche se si abilita immediatamente l'identità. Questo comportamento si verifica perché la disabilitazione dell'identità elimina l'ID oggetto. Ogni volta che si abilita l'identità, Azure genera l'identità con un ID oggetto diverso e univoco. Per risolvere questo problema, è necessario ricreare le connessioni in modo che usino l'ID oggetto corrente per l'identità assegnata dal sistema corrente.

Provare a evitare di disabilitare l'identità assegnata dal sistema il più possibile. Se si vuole rimuovere l'accesso dell'identità alle risorse di Azure, rimuovere l'assegnazione di ruolo dell'identità dalla risorsa di destinazione. Se si elimina la risorsa dell'app per la logica, Azure rimuove automaticamente l'identità gestita dall'ID Microsoft Entra.

I passaggi descritti in questa sezione illustrano l'uso dei portale di Azure e del modello di Azure Resource Manager (modello di Resource Manager). Per Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST di Azure, vedere la documentazione seguente:

Strumento Documentazione
Azure PowerShell 1. Rimuovere l'assegnazione di ruolo.
2. Eliminare l'identità assegnata dall'utente.
Interfaccia della riga di comando di Azure 1. Rimuovere l'assegnazione di ruolo.
2. Eliminare l'identità assegnata dall'utente.
API REST di Azure 1. Rimuovere l'assegnazione di ruolo.
2. Eliminare l'identità assegnata dall'utente.

Disabilitare l'identità gestita nel portale di Azure

Per rimuovere l'accesso per l'identità gestita, rimuovere l'assegnazione di ruolo dell'identità dalla risorsa di destinazione e quindi disabilitare l'identità gestita.

Rimuovere l'assegnazione di ruolo

La procedura seguente consente di rimuovere l'accesso alla risorsa di destinazione dall'identità gestita:

  1. Nel portale di Azure passare alla risorsa di destinazione di Azure in cui si vuole rimuovere l'accesso per l'identità gestita.

  2. Nel menu della risorsa di destinazione selezionare Controllo di accesso (IAM). Nella barra degli strumenti selezionare Assegnazioni di ruoli.

  3. Nell'elenco dei ruoli selezionare le identità gestite che si vuole rimuovere. Nella barra degli strumenti selezionare Rimuovi.

    Suggerimento

    Se l'opzione Rimuovi è disabilitata, è probabile che non si abbiano le autorizzazioni. Per altre informazioni sulle autorizzazioni che consentono di gestire i ruoli per le risorse, vedere autorizzazioni del ruolo Amministrazione istrator in Microsoft Entra ID.

Disabilitare l'identità gestita nella risorsa dell'app per la logica

  1. Nella portale di Azure aprire la risorsa dell'app per la logica.

  2. Nel menu di spostamento dell'app per la logica, in Impostazioni, selezionare Identità e quindi seguire i passaggi per l'identità:

    • Selezionare Assegnata dal sistema>Attiva>Salva. Quando Azure chiede di confermare, selezionare .

    • Selezionare Assegnata dall'utente e l'identità gestita, quindi selezionare Rimuovi. Quando Azure chiede di confermare, selezionare .

Disabilitare l'identità gestita in un modello di Resource Manager

Se è stata creata l'identità gestita dell'app per la logica usando un modello di Resource Manager, impostare la identity proprietà figlio dell'oggetto type su None.

"identity": {
   "type": "None"
}

Passaggi successivi