Condividi tramite

Proteggere i segreti di autenticazione in Azure Key Vault per App Web statiche di Azure

  • Articolo

Quando si configurano provider di autenticazione personalizzati, è possibile archiviare i segreti di connessione in Azure Key Vault. Questo articolo illustra come usare un'identità gestita per concedere ad App Web statiche di Azure l'accesso a Key Vault per segreti di autenticazione personalizzati.

Nota

Le Funzioni serverless di Azure non supportano l'integrazione diretta di Key Vault. Se è necessaria l'integrazione di Key Vault con l'App per le funzioni gestite, sarà necessario implementare l'accesso a Key Vault nel codice dell'app.

I segreti di sicurezza richiedono che siano presenti gli elementi seguenti.

  • Creare un'identità assegnata dal sistema nell'app Web statica.
  • Concedere all'identità l'accesso a un segreto di Key Vault.
  • Fare riferimento al segreto di Key Vault dalle impostazioni dell'applicazione app Web statica.

Questo articolo mostra come configurare ognuno di questi elementi nell'ambiente di produzione per applicazioni di funzioni personalizzate.

L'integrazione di Key Vault non è disponibile per:

Nota

L'uso dell'identità gestita è disponibile solo nel piano Standard di App Web statiche di Azure.

Prerequisiti

  • Sito di App Web statiche di Azure esistente con funzioni personalizzate.
  • Risorsa Key Vault esistente con un valore segreto.

Creare l'identità

  1. Aprire l'app Web statica nel portale di Azure.

  2. In Impostazioni selezionare Identità.

  3. Selezionare la scheda Assegnata dal sistema.

  4. Sotto l'etichetta Stato, selezionare Attiva.

  5. Seleziona Salva.

    Aggiungere l'identità assegnata dal sistema

  6. Quando compare la finestra di dialogo di conferma, selezionare .

    Confermare l'assegnazione di identità.

È ora possibile aggiungere un criterio di accesso per consentire all'app Web statica di leggere i segreti di Key Vault.

Aggiungere un criterio di accesso Key Vault

  1. Aprire la risorsa Key Vault nel portale di Azure.

  2. Nel menù Impostazioni, selezionare Criteri di accesso.

  3. Selezionare il collegamento Aggiungi criteri di accesso.

  4. Nell'elenco a discesa Autorizzazioni segrete selezionare Ottieni.

  5. Accanto all'etichetta Seleziona entità di sicurezza, selezionare il collegamento Nessuno selezionato.

  6. Nella casella di ricerca, cercare il nome dell'app Web statica.

  7. Selezionare la voce di elenco corrispondente al nome dell'applicazione.

  8. Seleziona Seleziona.

  9. Seleziona Aggiungi.

  10. Seleziona Salva.

    Salvare i criteri di accesso di Key Vault

I criteri di accesso vengono ora salvati in Key Vault. Accedere quindi all'URI del segreto da usare quando si associa l'app Web statica alla risorsa Key Vault.

  1. Nel menù Impostazioni, selezionare Segreti.

  2. Selezionare il segreto che si desidera dall'elenco.

  3. Selezionare la versione del segreto che si desidera dall'elenco.

  4. Selezionare copia alla fine della casella di testo Identificatore segreto, per copiare il valore dell'URI segreto negli Appunti.

  5. Incollare questo valore in un editor di testo per usarlo in un secondo momento.

Aggiungi impostazione applicazione

  1. Aprire il sito dell'app Web statica nel portale di Azure.

  2. Nel menù Impostazioni, selezionare Configurazione.

  3. Nella sezione Impostazioni applicazione, selezionare Aggiungi.

  4. Immettere un nome nella casella di testo per il campo Nome.

  5. Determinare il valore del segreto nella casella di testo per il campo Valore.

    Il valore del segreto è composto da alcuni valori diversi. Il modello seguente illustra come viene compilata la stringa finale.

    @Microsoft.KeyVault(SecretUri=<YOUR_KEY_VAULT_SECRET_URI>)

    Ad esempio, una stringa finale sarà simile all'esempio seguente:

    @Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/mysecret/)

    In alternativa:

    @Microsoft.KeyVault(VaultName=myvault;SecretName=mysecret)

    Usare la procedura seguente per compilare il valore del segreto completo.

  6. Copiare il modello dall'alto e incollarlo in un editor di testo.

  7. Sostituire <YOUR_KEY_VAULT_SECRET_URI> con il valore URI di Key Vault salvato in precedenza.

  8. Copiare il nuovo valore stringa completo.

  9. Incollare il valore nella casella di testo per il campo Valore.

  10. Seleziona OK.

  11. Selezionare Salva nella parte superiore della barra degli strumenti Impostazioni applicazione.

    Salvare le impostazioni dell'applicazione

Ora quando la configurazione di autenticazione personalizzata fa riferimento all'impostazione dell'applicazione appena creata, il valore viene estratto da Azure Key Vault usando l'identità dell'app Web statica.

Passaggi successivi

Autenticazione personalizzata