Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Una sfida comune per gli sviluppatori consiste nella gestione di segreti, credenziali, certificati e chiavi usati per proteggere la comunicazione tra i servizi. Le identità gestite eliminano la necessità per gli sviluppatori di gestire queste credenziali.
Anche se gli sviluppatori possono archiviare in modo sicuro i segreti in Azure Key Vault, i servizi necessitano di un modo per accedere ad Azure Key Vault. Le identità gestite forniscono un'identità gestita automaticamente in Microsoft Entra ID per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Le applicazioni possono usare le identità gestite per ottenere i token di Microsoft Entra senza dover gestire le credenziali.
Ecco alcuni vantaggi derivanti dall'uso delle identità gestite:
- Non è necessario gestire le credenziali. Non è possibile accedere alle credenziali.
- È possibile usare le identità gestite per eseguire l'autenticazione per qualsiasi risorsa che supporti l'autenticazione di Microsoft Entra, incluse le proprie applicazioni.
- È possibile usare le identità gestite senza costi aggiuntivi.
Tipi di identità gestite disponibili in Azure
Esistono due tipi di identità gestite:
Assegnata dal sistema: alcuni tipi di risorse di Azure, ad esempio Database di Azure per PostgreSQL, consentono di abilitare un'identità gestita direttamente nella risorsa. Vengono definite identità gestite assegnate dal sistema. Quando si abilita un'identità gestita assegnata dal sistema:
Microsoft Entra ID crea un'entità servizio di tipo speciale per l'identità. L'entità servizio è legata al ciclo di vita della risorsa di Azure specifica. Quando si elimina la risorsa Azure, Azure elimina automaticamente l'entità servizio.
Per impostazione predefinita, solo questa specifica risorsa di Azure può usare questa identità per richiedere token ad Microsoft Entra ID.
È possibile autorizzare l'entità servizio associata all'identità gestita ad accedere a uno o più servizi.
Il nome assegnato all'entità servizio associata all'identità gestita è sempre uguale al nome della risorsa Azure per cui viene creata.
Assegnata dall'utente: alcuni tipi di risorse Azure supportano anche l'assegnazione di identità gestite create come risorse indipendenti. Il ciclo di vita di tali identità è indipendente dal ciclo di vita delle risorse a cui sono assegnate. È possibile assegnarli a più risorse. Quando si abilita un'identità gestita assegnata dall'utente:
Microsoft Entra ID crea un service principal di tipo speciale per l'identità. Gestisci il service principal separatamente dalle risorse che lo utilizzano.
Più risorse possono usare le identità assegnate dall'utente.
L'utente autorizza l'identità gestita ad avere accesso a uno o più servizi.
Uso di identità gestite in Database di Azure per PostgreSQL
Un Database di Azure per PostgreSQL usa l'identità gestita assegnata dal sistema per:
-
estensione azure_storage, quando viene configurata per accedere a un account di archiviazione utilizzando il tipo di autenticazione
managed-identity. Per altre informazioni, vedere come configurare l'estensione azure_storage per l'uso dell'autorizzazione con Microsoft Entra ID. - Database di Microsoft Fabric con mirroring da Database di Azure per PostgreSQL (anteprima) usa le credenziali dell'identità gestita assegnata dal sistema per firmare le richieste che il server flessibile invia al servizio Azure DataLake in Microsoft Fabric per eseguire il mirroring dei database designati.
Usare le identità gestite assegnate dall'utente configurate per un server flessibile di Database di Azure per PostgreSQL per: