Autenticazione nell'insieme di credenziali con le identità gestite per le risorse di Azure
Azure Key Vault usa Microsoft Entra ID per autenticare utenti e app che cercano di accedere a un insieme di credenziali. Per concedere all'app Web l'accesso all'insieme di credenziali, è prima necessario registrare l'app con Microsoft Entra ID. La registrazione consente di creare un'identità per l'app. Dopo che l'app ha ottenuto un'identità, è possibile assegnare le autorizzazioni dell'insieme di credenziali.
Le app e gli utenti eseguono l'autenticazione in Key Vault utilizzando un token di autenticazione di Microsoft Entra. Per ottenere un token da Microsoft Entra ID è necessario un segreto o un certificato. Chiunque abbia un token potrebbe usare l'identità dell'app per accedere a tutti i segreti nell'insieme di credenziali.
I segreti dell'app sono protetti nell'insieme di credenziali, ma è comunque necessario mantenere un segreto o un certificato all'esterno dell'insieme di credenziali per accedervi. Questo problema viene chiamato problema di bootstrap e Azure ha una soluzione.
Identità gestite per le risorse di Azure
Identità gestite per le risorse di Azure è una funzionalità di Azure che l'app può usare per accedere a Key Vault e ad altri servizi di Azure senza dover gestire alcun segreto all'esterno dell'insieme di credenziali. L'uso di un'identità gestita è un modo semplice e sicuro per sfruttare i vantaggi di Key Vault dall'app Web.
Quando si abilita l'identità gestita nell'app Web, Azure attiva un servizio REST separato per la concessione di token appositamente per l'app. L'app richiede token da questo servizio anziché direttamente da Microsoft Entra ID. Per accedere a questo servizio, l'app deve usare un segreto, che però viene inserito nelle variabili di ambiente dell'app dal servizio app all'avvio. Non è necessario gestire o archiviare questo valore segreto da qualche parte e nulla all'esterno dell'app può accedere a questo segreto o all'endpoint servizio token dell'identità gestita.
Anche le identità gestite per le risorse di Azure registrano l'app in Microsoft Entra ID per l'utente. Microsoft Entra ID elimina la registrazione se si elimina l'app Web o si disabilita l'identità gestita.
Le identità gestite sono disponibili in tutte le edizioni di Microsoft Entra ID, inclusa la versione gratuita fornita con la sottoscrizione di Azure. L'uso di questa funzionalità nel Servizio app non prevede costi aggiuntivi, non richiede alcuna configurazione e può essere abilitata o disabilitata in un'app in qualsiasi momento.
Per abilitare un'identità gestita per un'app Web è necessario solo un singolo comando dell'interfaccia della riga di comando di Azure senza alcuna configurazione. Questa operazione viene eseguita in un secondo momento quando si configura un'app servizio app e la si distribuisce in Azure. Prima di questo, tuttavia, applicare la conoscenza delle identità gestite per scrivere il codice per l'app.