Gestione delle identità nelle app di Azure Container - Acceleratore di zona di destinazione

  • Articolo

Per proteggere l'applicazione, è possibile abilitare l'autenticazione e l'autorizzazione tramite un provider di identità, ad esempio Microsoft Entra ID o Microsoft Entra per ID esterno (anteprima).

È consigliabile usare l'identità gestita anziché un'entità servizio per connettersi ad altre risorse nell'app contenitore. L'identità gestita è preferibile in quanto nega la necessità di gestire le credenziali. È possibile usare identità gestite assegnate dal sistema o assegnate dall'utente. Le identità gestite assegnate dal sistema offrono il vantaggio di condividere un ciclo di vita con la risorsa di Azure a cui sono collegati, ad esempio un'app contenitore. Al contrario, un'identità gestita assegnata dall'utente è una risorsa di Azure indipendente che può essere riutilizzata tra più risorse, promuovendo un approccio più efficiente e centralizzato alla gestione delle identità.

Consigli

  • Se è necessaria l'autenticazione, usare l'ID Entra di Azure o l'ID Entra di Azure B2C come provider di identità.

  • Usare registrazioni di app separate per gli ambienti dell'applicazione. Ad esempio, creare una registrazione diversa per lo sviluppo rispetto al test e alla produzione.

  • Usare le identità gestite assegnate dall'utente, a meno che non esista un requisito sicuro per l'uso di identità gestite assegnate dal sistema. L'implementazione dell'acceleratore di zona di destinazione usa le identità gestite assegnate dall'utente per i motivi seguenti:

    • Riutilizzabilità: poiché è possibile creare e gestire le identità separatamente dalle risorse di Azure a cui sono assegnate, ciò consente di riutilizzare la stessa identità gestita tra più risorse, promuovendo un approccio più efficiente e centralizzato alla gestione delle identità.
    • Gestione del ciclo di vita delle identità: è possibile creare, eliminare e gestire in modo indipendente le identità gestite assegnate dall'utente, semplificando la gestione delle attività correlate all'identità senza influire sulle risorse di Azure.
    • Concessione di autorizzazioni: si ha maggiore flessibilità nella concessione delle autorizzazioni con identità gestite assegnate dall'utente. È possibile assegnare queste identità a risorse o servizi specifici in base alle esigenze, semplificando il controllo dell'accesso a varie risorse e servizi.

  • Usare i ruoli predefiniti di Azure per assegnare autorizzazioni con privilegi minimi alle risorse e agli utenti.

  • Assicurarsi che l'accesso agli ambienti di produzione sia limitato. Idealmente, nessuno ha accesso permanente agli ambienti di produzione, ma si basa sull'automazione per gestire le distribuzioni e Privileged Identity Management per l'accesso di emergenza.

  • Creare ambienti di produzione e ambienti non di produzione in sottoscrizioni di Azure separate per delineare i limiti di sicurezza.