Esplorare le identità gestite
Uno dei problemi comuni a cui devono far fronte gli sviluppatori riguarda la gestione di segreti, credenziali, certificati e chiavi per proteggere la comunicazione tra i servizi. Grazie alle identità gestite, gli sviluppatori non devono più gestire queste credenziali.
Anche se gli sviluppatori possono archiviare in modo sicuro i segreti in Azure Key Vault, i servizi necessitano di un modo per accedere ad Azure Key Vault. Le identità gestite forniscono un'identità gestita automaticamente in Microsoft Entra ID per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Le applicazioni possono usare le identità gestite per ottenere i token di Microsoft Entra senza dover gestire le credenziali.
Tipi di identità gestite
Sono disponibili due tipi di identità gestite:
- Un'identità gestita assegnata dal sistema viene abilitata direttamente in un'istanza del servizio di Azure. Quando l'identità è abilitata, Azure crea un'identità per l'istanza nel tenant di Microsoft Entra considerato attendibile dalla sottoscrizione dell'istanza. Dopo la creazione dell'identità, le credenziali vengono fornite sull'istanza. Il ciclo di vita di un'identità assegnata dal sistema viene direttamente associato all'istanza del servizio di Azure in cui l'identità è abilitata. Se l'istanza viene eliminata, Azure pulisce automaticamente le credenziali e l'identità in Microsoft Entra ID.
- Un'identità gestita assegnata dall'utente viene creata come risorsa di Azure autonoma. Tramite un processo di creazione, Azure crea un'identità nel tenant di Microsoft Entra considerato attendibile dalla sottoscrizione in uso. Dopo la creazione, l'identità può essere assegnata a una o più istanze del servizio di Azure. Il ciclo di vita di un'identità assegnata dall'utente viene gestito separatamente dal ciclo di vita delle istanze del servizio di Azure a cui l'identità è assegnata.
Internamente, le identità gestite sono entità servizio di un tipo speciale, che sono bloccate e devono essere usate solo con le risorse di Azure. Quando l'identità gestita viene eliminata, l'entità servizio corrispondente viene rimossa automaticamente.
Caratteristiche delle identità gestite
La tabella seguente evidenzia alcune delle differenze principali tra i due tipi di identità gestite.
| Proprietà | Identità gestita assegnata dal sistema | Identità gestita assegnata dall'utente |
|---|---|---|
| Creazione | Creata come parte di una risorsa di Azure, ad esempio una macchina virtuale di Azure o Servizio app di Azure | Creata come risorsa di Azure autonoma |
| Ciclo di vita | Ciclo di vita condiviso con la risorsa di Azure con cui viene creata l'identità gestita. Quando viene eliminata la risorsa padre, viene eliminata anche l'identità gestita. | Ciclo di vita indipendente. Deve essere eliminata in modo esplicito. |
| Condivisione tra risorse di Azure | Non può essere condivisa. Può essere associata solo a una singola risorsa di Azure. | Può essere condivisa. La stessa identità gestita assegnata dall'utente può essere associata a più risorse di Azure. |
Di seguito sono riportati i casi d'uso comuni per le identità gestite:
Identità gestita assegnata dal sistema
- Carichi di lavoro contenuti in una singola risorsa di Azure.
- I carichi di lavoro necessitano di identità indipendenti.
- Ad esempio, un'applicazione eseguita in una singola macchina virtuale.
Identità gestita assegnata dall'utente
- Carichi di lavoro che vengono eseguiti in più risorse e possono condividere una singola identità.
- Carichi di lavoro che richiedono la preautenticazione in una risorsa sicura, come parte di un flusso di provisioning.
- Carichi di lavoro in cui le risorse vengono riciclate frequentemente, ma le autorizzazioni devono rimanere coerenti.
- Ad esempio, un carico di lavoro in cui più macchine virtuali devono accedere alla stessa risorsa.
Quali servizi di Azure supportano le identità gestite?
È possibile usare le identità gestite per le risorse di Azure per eseguire l'autenticazione ai servizi che supportano l'autenticazione di Microsoft Entra. Per un elenco dei servizi di Azure che supportano la funzionalità delle identità gestite per le risorse di Azure, vedere Servizi che supportano le identità gestite per le risorse di Azure.
Nella parte restante di questo modulo vengono usate macchine virtuali di Azure negli esempi, ma gli stessi concetti e azioni simili possono essere applicati a qualsiasi risorsa in Azure che supporta l'autenticazione di Microsoft Entra.