Protezione dei segreti di autenticazione in Azure Key Vault

  • Articolo

Quando si configurano provider di autenticazione personalizzati, è possibile archiviare i segreti di connessione in Azure Key Vault. Questo articolo illustra come usare un'identità gestita per concedere App Web statiche di Azure l'accesso a Key Vault per i segreti di autenticazione personalizzati.

Nota

Funzioni serverless di Azure non supportano l'integrazione diretta di Key Vault. Se è necessaria l'integrazione di Key Vault con l'app per le funzioni gestite, sarà necessario implementare l'accesso a Key Vault nel codice dell'app.

I segreti di sicurezza richiedono che siano presenti gli elementi seguenti.

  • Creare un'identità assegnata dal sistema nell'istanza di App Web statiche.
  • Concedere all'identità l'accesso a un segreto di Key Vault.
  • Fare riferimento al segreto dell'insieme di credenziali delle chiavi dalle impostazioni dell'applicazione App Web statiche.

Questo articolo illustra come configurare ognuno di questi elementi nell'ambiente di produzione per le applicazioni bring your own functions.

L'integrazione di Key Vault non è disponibile per:

Nota

L'uso dell'identità gestita è disponibile solo nel piano standard App Web statiche di Azure.

Prerequisiti

  • Sito di App Web statiche di Azure esistente tramite le funzioni Bring Your Own.
  • Risorsa dell'insieme di credenziali delle chiavi esistente con un valore segreto.

Creare l'identità

  1. Aprire il sito App Web statiche nel portale di Azure.

  2. Nel menu Impostazioni selezionare Identità.

  3. Selezionare la scheda Assegnata dal sistema .

  4. Sotto l'etichetta Stato selezionare .

  5. Seleziona Salva.

    Add system-assigned identity

  6. Quando viene visualizzata la finestra di dialogo di conferma, selezionare .

    Confirm identity assignment.

È ora possibile aggiungere un criterio di accesso per consentire all'app Web statica di leggere i segreti di Key Vault.

Aggiungere un criterio di accesso di Key Vault

  1. Aprire la risorsa key vault nel portale di Azure.

  2. Nel menu Impostazioni selezionare Criteri di accesso.

  3. Selezionare il collegamento Aggiungi criteri di accesso.

  4. Nell'elenco a discesa Autorizzazioni segrete selezionare Recupera.

  5. Accanto all'etichetta Seleziona entità selezionare il collegamento Nessuno selezionato.

  6. Nella casella di ricerca cercare il nome dell'applicazione App Web statiche.

  7. Selezionare la voce di elenco corrispondente al nome dell'applicazione.

  8. Seleziona Seleziona.

  9. Seleziona Aggiungi.

  10. Seleziona Salva.

    Save Key Vault access policy

I criteri di accesso vengono ora salvati in Key Vault. Accedere quindi all'URI del segreto da usare quando si associa l'app Web statica alla risorsa Key Vault.

  1. Nel menu Impostazioni selezionare Segreti.

  2. Selezionare il segreto desiderato dall'elenco.

  3. Selezionare la versione del segreto desiderata dall'elenco.

  4. Selezionare copia alla fine della casella di testo Identificatore segreto per copiare il valore dell'URI segreto negli Appunti.

  5. Incollare questo valore in un editor di testo per usarlo in un secondo momento.

Aggiungere l'impostazione dell'applicazione

  1. Aprire il sito App Web statiche nel portale di Azure.

  2. Nel menu Impostazioni selezionare Configurazione.

  3. Nella sezione Impostazioni applicazione selezionare Aggiungi.

  4. Immettere un nome nella casella di testo per il campo Nome .

  5. Determinare il valore del segreto nella casella di testo per il campo Valore .

    Il valore del segreto è composto da alcuni valori diversi. Il modello seguente illustra come viene compilata la stringa finale.

    @Microsoft.KeyVault(SecretUri=<YOUR-KEY-VAULT-SECRET-URI>)

    Ad esempio, una stringa finale sarà simile all'esempio seguente:

    @Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/mysecret/)

    In alternativa:

    @Microsoft.KeyVault(VaultName=myvault;SecretName=mysecret)

    Usare la procedura seguente per compilare il valore del segreto completo.

  6. Copiare il modello dall'alto e incollarlo in un editor di testo.

  7. Sostituire <YOUR-KEY-VAULT-SECRET-URI> con il valore dell'URI di Key Vault impostato in precedenza.

  8. Copiare il nuovo valore stringa completo.

  9. Incollare il valore nella casella di testo per il campo Valore .

  10. Seleziona OK.

  11. Selezionare Salva nella parte superiore della barra degli strumenti Impostazioni applicazione.

    Save application settings

Ora quando la configurazione di autenticazione personalizzata fa riferimento all'impostazione dell'applicazione appena creata, il valore viene estratto da Azure Key Vault usando l'identità dell'app Web statica.

Passaggi successivi

Autenticazione personalizzata