Usare le identità gestite per Rete per la distribuzione di contenuti di Azure per accedere ai certificati di Azure Key Vault
Importante
Rete CDN di Azure Standard di Microsoft (versione classica) verrà ritirato il 30 settembre 2027. Per evitare interruzioni del servizio, è importante eseguire la migrazione dei profili di Rete CDN di Azure Standard di Microsoft (versione classica) al livello Frontdoor di Azure Standard o Premium entro il 30 settembre 2027. Per altre informazioni, vedere Ritiro di Rete CDN di Azure Standard di Microsoft (versione classica).
Rete CDN di Azure di Edgio verrà ritirato 4 novembre 2025. È necessario eseguire la migrazione del carico di lavoro in Frontdoor di Azure prima di questa data per evitare interruzioni del servizio. Per altre informazioni, vedere Rete CDN di Azure da Domande frequenti sul ritiro di Edgio.
Un'identità gestita generata da Microsoft Entra ID consente all'istanza di Rete di distribuzione di contenuti di Azure di accedere in modo semplice e sicuro ad altre risorse protette di Microsoft Entra, ad esempio Azure Key Vault. Azure gestisce la risorsa dell'identità, quindi non è necessario ruotare segreti. Per altre informazioni sulle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure.
Dopo aver abilitato l'identità gestita per Frontdoor di Azure e aver concesso le autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi di Azure, Frontdoor di Azure usa solo l'identità gestita per accedere ai certificati. Se non si aggiunge l'autorizzazione di identità gestita a Key Vault, la rotazione automatica del certificato personalizzata e l'aggiunta di nuovi certificati non riesce senza autorizzazioni per Key Vault. Se si disabilita l'identità gestita, Frontdoor di Azure esegue il fallback all'uso dell'app Microsoft Entra configurata originale. Questa soluzione non è consigliata e verrà ritirata in futuro.
È possibile concedere due tipi di identità a un profilo Frontdoor di Azure:
Un'identità assegnata dal sistema viene associata al servizio e viene eliminata in caso di eliminazione. Il servizio può avere una sola identità assegnata dal sistema.
Un'identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata al servizio. Il servizio può avere più identità assegnate dall'utente.
Le identità gestite sono specifiche del tenant di Microsoft Entra in cui è ospitata la sottoscrizione di Azure. L'aggiornamento non avviene se una sottoscrizione viene spostata in una directory diversa. Se una sottoscrizione viene spostata, sarà necessario ricreare e riconfigurare l'identità.
Prerequisiti
Per poter configurare l'identità gestita per Frontdoor di Azure, è necessario prima creare un profilo Standard o Premium di Frontdoor di Azure. Per creare un nuovo profilo di Frontdoor di Azure, vedere Creare un profilo di Rete per la distribuzione di contenuti.
Abilitare l'identità gestita
Passare a un profilo di Rete per la distribuzione di contenuti di Azure esistente. Selezionare Identità dalle Impostazioni nel riquadro del menu a sinistra.
Selezionare un'identità gestita Assegnata dal sistema o Assegnata dall’utente.
Assegnata dal sistema: viene creata un'identità gestita per il ciclo di vita del profilo di Rete per la distribuzione di contenuti di Azure e viene usata per accedere ad Azure Key Vault.
Assegnata dall'utente: una risorsa di identità gestita autonoma viene usata per eseguire l'autenticazione in Azure Key Vault e ha il proprio ciclo di vita.
Assegnata dal sistema
Impostare Stato su Attivato e quindi selezionare Salva.
Viene visualizzato un messaggio per confermare che si vuole creare un'identità gestita dal sistema per il profilo Frontdoor di Azure. Seleziona Sì per confermare.
Dopo aver creato l'identità gestita assegnata dal sistema e averla registrata con Microsoft Entra ID, è possibile usare l'ID oggetto (entità di sicurezza) per concedere a Rete per la distribuzione di contenuti di Azure l'accesso ad Azure Key Vault.
Assegnata dall'utente
È necessario aver già creato un'identità gestita dall'utente. Per creare una nuova identità, vedere Creare un'identità gestita assegnata dall'utente.
Nella scheda Assegnata dall'utente selezionare + Aggiungi per aggiungere un'identità gestita assegnata dall'utente.
Cercare e selezionare l'identità assegnata dall'utente. Selezionare quindi Aggiungi per aggiungere l'identità gestita dall'utente al profilo di Rete per la distribuzione di contenuti di Azure.
Il nome dell'identità gestita assegnata dall'utente selezionato viene visualizzato nel profilo di Rete per la distribuzione di contenuti di Azure.
Configurare il criterio di accesso di Key Vault
Passare ad Azure Key Vault. Selezionare Criteri di accesso dalle Impostazioni e quindi selezionare + Crea.
Nella scheda Autorizzazioni della pagina Crea un criterio di accesso selezionare l'opzione Elenca e Ottieni per Autorizzazioni segreto. Selezionare quindi Avanti per configurare la scheda dell'entità di sicurezza.
Nella scheda Entità di sicurezza incollare l'ID oggetto (entità di sicurezza) se si usa un'identità gestita dal sistema o immettere un nome se si usa un'identità gestita assegnata dall'utente. Selezionare quindi la scheda Rivedi + Crea. La scheda Applicazione viene ignorata perché Frontdoor di Azure è già selezionato.
Rivedere le impostazioni del criterio di accesso e selezionare Crea per configurare il criterio di accesso.
Passaggi successivi
- Informazioni su come reindirizzare gli utenti a HTTPS con il motore regole Standard