Condividi tramite

Usare le identità gestite per accedere ai certificati di Azure Key Vault

  • Articolo

Le identità gestite fornite da Microsoft Entra ID consentono all'istanza di Frontdoor di Azure di accedere in modo sicuro ad altre risorse protette di Microsoft Entra, ad esempio Azure Key Vault, senza la necessità di gestire le credenziali. Per altre informazioni, vedere Cosa sono le identità gestite per le risorse di Azure.

Nota

Il supporto delle identità gestite in Frontdoor di Azure è limitato all'accesso ad Azure Key Vault. Non può essere usato per eseguire l'autenticazione da Frontdoor a origini come l'archiviazione BLOB o App Web.

Dopo aver abilitato l'identità gestita per Frontdoor di Azure e aver concesso le autorizzazioni necessarie all'insieme di credenziali delle chiavi di Azure, Frontdoor userà l'identità gestita per accedere ai certificati. Senza queste autorizzazioni, l'autorotazione del certificato personalizzata e l'aggiunta di nuovi certificati hanno esito negativo. Se l'identità gestita è disabilitata, Frontdoor di Azure ripristina l'uso dell'app Microsoft Entra configurata originale, che non è consigliata e verrà deprecata in futuro.

Frontdoor di Azure supporta due tipi di identità gestite:

  • Identità assegnata dal sistema: questa identità è associata al servizio e viene eliminata se il servizio viene eliminato. Ogni servizio può avere una sola identità assegnata dal sistema.
  • Identità assegnata dall'utente: si tratta di una risorsa di Azure autonoma che può essere assegnata al servizio. Ogni servizio può avere più identità assegnate dall'utente.

Le identità gestite sono specifiche del tenant di Microsoft Entra in cui è ospitata la sottoscrizione di Azure. Se una sottoscrizione viene spostata in una directory diversa, è necessario ricreare e riconfigurare l'identità.

È possibile configurare l'accesso ad Azure Key Vault usando il controllo degli accessi in base al ruolo o i criteri di accesso.

Prerequisiti

Prima di configurare l'identità gestita per Frontdoor di Azure, assicurarsi di avere un profilo Frontdoor di Azure Standard o Premium. Per creare un nuovo profilo, vedere Creare una frontdoor di Azure.

Abilitare l'identità gestita

  1. Passare al profilo esistente di Frontdoor di Azure. Selezionare Identità in Sicurezza nel menu a sinistra.

    Screenshot del pulsante Identity in impostazioni per un profilo frontdoor.

  2. Scegliere un'identità gestita assegnata dal sistema o assegnata dall'utente .

    • Assegnata dal sistema: identità gestita associata al ciclo di vita del profilo di Frontdoor di Azure, usata per accedere ad Azure Key Vault.

    • Assegnata dall'utente : una risorsa di identità gestita autonoma con il proprio ciclo di vita, usata per eseguire l'autenticazione in Azure Key Vault.

    Assegnata dal sistema

    1. Impostare Stato su e selezionare Salva.

      Screenshot della pagina di configurazione dell'identità gestita assegnata dal sistema.

    2. Confermare la creazione di un'identità gestita di sistema per il profilo frontdoor selezionando quando richiesto.

      Screenshot del messaggio di conferma dell'identità gestita assegnata dal sistema.

    3. Dopo aver creato e registrato con Microsoft Entra ID, usare l'ID Oggetto (entità) per concedere l'accesso di Frontdoor di Azure all'insieme di credenziali delle chiavi di Azure.

      Screenshot dell'identità gestita assegnata dal sistema, registrata con Microsoft Entra ID.

    Assegnata dall'utente

    Per usare un'identità gestita assegnata dall'utente, è necessario crearne una già creata. Per istruzioni sulla creazione di una nuova identità, vedere Creare un'identità gestita assegnata dall'utente.

    1. Nella scheda Assegnata dall'utente selezionare + Aggiungi per aggiungere un'identità gestita assegnata dall'utente.

      Screenshot della pagina di configurazione dell'identità gestita assegnata dall'utente.

    2. Cercare e selezionare l'identità gestita assegnata dall'utente. Selezionare quindi Aggiungi per collegarlo al profilo frontdoor di Azure.

      Screenshot della pagina Aggiungi identità gestita assegnata dall'utente.

    3. Il nome dell'identità gestita assegnata dall'utente selezionato viene visualizzato nel profilo frontdoor di Azure.

      Screenshot dell'identità gestita assegnata dall'utente aggiunta al profilo frontdoor.

Configurare l'accesso a Key Vault

È possibile configurare l'accesso ad Azure Key Vault usando uno dei metodi seguenti:

Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure e criteri di accesso.

Controllo degli accessi in base al ruolo

  1. Passare ad Azure Key Vault. Selezionare Controllo di accesso (IAM) dal menu Impostazioni , quindi selezionare + Aggiungi e scegliere Aggiungi assegnazione di ruolo.

    Screenshot della pagina di controllo di accesso (IAM) per un insieme di credenziali delle chiavi.

  2. Nella pagina Aggiungi assegnazione di ruolo cercare Key Vault Secret User e selezionarlo nei risultati della ricerca.

    Screenshot della pagina aggiungi assegnazione di ruolo per un insieme di credenziali delle chiavi.

  3. Passare alla scheda Membri , selezionare Identità gestita, quindi selezionare + Seleziona membri.

    Screenshot della scheda membri per la pagina aggiungi assegnazione di ruolo per un insieme di credenziali delle chiavi.

  4. Scegliere l'identità gestita assegnata dal sistema o assegnata dall'utente associata alla frontdoor di Azure e quindi selezionare Seleziona.

    Screenshot della pagina Seleziona membri per la pagina Aggiungi assegnazione di ruolo per un insieme di credenziali delle chiavi.

  5. Selezionare Rivedi e assegna per finalizzare l'assegnazione di ruolo.

    Screenshot della pagina rivedi e assegna per la pagina aggiungi assegnazione di ruolo per un insieme di credenziali delle chiavi.

Criteri di accesso

  1. Passare ad Azure Key Vault. In Impostazioni selezionare Criteri di accesso e quindi + Crea.

    Screenshot della pagina dei criteri di accesso per un insieme di credenziali delle chiavi.

  2. Nella pagina Crea un criterio di accesso passare alla scheda Autorizzazioni . In Autorizzazioni segrete selezionare Elenco e Ottieni. Selezionare quindi Avanti per passare alla scheda principale.

    Screenshot della scheda delle autorizzazioni del criterio di accesso di Key Vault.

  3. Nella scheda Entità immettere l'ID dell'oggetto (entità) per un'identità gestita assegnata dal sistema o il nome per un'identità gestita assegnata dall'utente. Selezionare quindi Rivedi e crea. La scheda Applicazione viene ignorata perché Frontdoor di Azure viene selezionato automaticamente.

    Screenshot della scheda dell'entità di sicurezza per il criterio di accesso di Key Vault.

  4. Esaminare le impostazioni dei criteri di accesso e selezionare Crea per finalizzare i criteri di accesso.

    Screenshot della scheda Rivedi + Crea per il criterio di accesso di Key Vault.

Verifica dell'accesso

  1. Passare al profilo frontdoor di Azure in cui è stata abilitata l'identità gestita e selezionare Segreti in Sicurezza.

    Screenshot dell'accesso ai segreti da in impostazioni di un profilo frontdoor.

  2. Verificare che l'identità gestita venga visualizzata nella colonna Ruolo di accesso per il certificato usato in Frontdoor. Se si configura l'identità gestita per la prima volta, aggiungere un certificato a Frontdoor per visualizzare questa colonna.

    Screenshot di Frontdoor di Azure con l'identità gestita per accedere al certificato in Key Vault.

Passaggi successivi