Condividi tramite

Identità gestite

  • Articolo

SI APPLICA A: Database di Azure per PostgreSQL - Server flessibile

Uno dei problemi comuni a cui devono far fronte gli sviluppatori riguarda la gestione di segreti, credenziali, certificati e chiavi per proteggere la comunicazione tra i servizi. Grazie alle identità gestite, gli sviluppatori non devono più gestire queste credenziali.

Anche se gli sviluppatori possono archiviare in modo sicuro i segreti in Azure Key Vault, i servizi necessitano di un modo per accedere ad Azure Key Vault. Le identità gestite forniscono un'identità gestita automaticamente in Microsoft Entra ID per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Le applicazioni possono usare le identità gestite per ottenere i token di Microsoft Entra senza dover gestire le credenziali.

Ecco alcuni vantaggi derivanti dall'uso delle identità gestite:

  • Non è necessario gestire le credenziali. Le credenziali non sono nemmeno accessibili all'utente.
  • È possibile usare le identità gestite per eseguire l’autenticazione a qualsiasi risorsa che supporti l'autenticazione di Microsoft Entra, incluse le applicazioni.
  • Le identità gestite possono essere utilizzate senza costi aggiuntivi.

Tipi di identità gestite disponibili in Azure

Sono disponibili due tipi di identità gestite:

  • Assegnata dal sistema: alcuni tipi di risorse di Azure, ad esempio Database di Azure per PostgreSQL - Server flessibile, consentono di abilitare un'identità gestita direttamente nella risorsa. Vengono definite identità gestite assegnate dal sistema. Quando si abilita un'identità gestita assegnata dal sistema:

    • Per l'identità viene creato un'entità servizio di tipo speciale in Microsoft Entra ID. L'entità servizio è associata al ciclo di vita della risorsa di Azure. Quando la risorsa di Azure viene eliminata, Azure elimina automaticamente l'entità servizio.
    • Per impostazione predefinita, solo questa specifica risorsa di Azure può usare questa identità per richiedere token ad Microsoft Entra ID.
    • È possibile autorizzare l'entità servizio associata all'identità gestita per avere accesso a uno o più servizi.
    • Il nome assegnato all'entità servizio associata all'identità gestita è sempre uguale al nome della risorsa di Azure per cui viene creata.

  • Assegnata dall'utente: alcuni tipi di risorse di Azure supportano anche l'assegnazione di identità gestite create dall'utente come risorse indipendenti. Il ciclo di vita di queste identità è indipendente dal ciclo di vita delle risorse a cui sono assegnate. Possono essere assegnati a più risorse. Quando si abilita un'identità gestita assegnata dall'utente:

    • Per l'identità viene creato un'entità servizio di tipo speciale in Microsoft Entra ID. L'entità servizio viene gestita separatamente dalle risorse che lo usano.
    • Più risorse possono usare le identità assegnate dall'utente.
    • L'utente autorizza l'identità gestita ad avere accesso a uno o più servizi.

Uso di identità gestite in Database di Azure per PostgreSQL - Server flessibile

L'identità gestita assegnata dal sistema per un'istanza di Database di Azure per PostgreSQL server flessibile viene usata da:

Le identità gestite assegnate dall'utente configurate per un'istanza di Database di Azure per PostgreSQL server flessibile possono essere usate per:

Contenuto correlato