Condividi tramite

Autenticare le connessioni del flusso di lavoro alle risorse di Azure protette usando le identità gestite in App per la logica di Azure

Si applica a: App per la logica di Azure (A consumo e Standard)

Configurare un'identità gestita quando si vogliono autenticare le connessioni dai flussi di lavoro dell'app per la logica alle risorse di Azure protette da Microsoft Entra. Questa identità accede alle risorse protette per conto dell'app per la logica e rimuove la necessità di archiviare e gestire credenziali, segreti o token di accesso. A causa di questo comportamento, è consigliabile usare un'identità gestita per l'autenticazione. Azure gestisce questa identità per proteggere i dettagli di autenticazione.

In App per la logica di Azure molti connettori supportano entrambi i tipi di identità gestita:

  • Identità assegnata dal sistema
  • Identità assegnata dall'utente

Questa guida illustra come completare le attività seguenti:

  • Configurare l'identità assegnata dal sistema nella risorsa dell'app per la logica.
  • Creare e configurare un'identità assegnata dall'utente nella risorsa dell'app per la logica.

Questa guida illustra i passaggi per il portale di Azure e il modello di Azure Resource Manager (ARM template). Per Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST di Azure, vedere:

Strumento Documentazione
Azure PowerShell - Assegnato dal sistema
- Assegnata dall'utente
Interfaccia della riga di comando di Azure - Assegnato dal sistema
- Assegnata dall'utente
API REST di Azure - Assegnato dal sistema
- Assegnata dall'utente

Per ulteriori informazioni, vedere:

Prerequisiti

Considerazioni sull'uso delle identità gestite

Prima di configurare e usare un'identità gestita con un'app per la logica, esaminare le considerazioni seguenti:

  • La risorsa dell'applicazione logica ha una sola identità univoca assegnata dal sistema.

    Per impostazione predefinita, le app per la logica Standard abilitano automaticamente l'identità assegnata dal sistema.

  • La risorsa dell'app per la logica può avere l'identità assegnata dal sistema e una o più identità assegnate dall'utente abilitate contemporaneamente.

    • L'app per la logica può usare l'identità assegnata dal sistema o assegnata dall'utente, ma non entrambe contemporaneamente.

    • L'app per la logica può usare una sola identità assegnata dall'utente alla volta.

  • La risorsa dell'app per la logica può condividere la stessa identità assegnata dall'utente tra altre risorse dello stesso tipo.

  • È possibile usare un'identità gestita a livello di risorsa per la logica e a livello di connessione.

  • Per le app per la logica Standard, l'opzione di distribuzione ibrida non supporta l'autenticazione dell'identità gestita. È invece necessario creare e usare una registrazione dell'app.

Per ulteriori informazioni, vedere:

Connettori che supportano le identità gestite

Per supportare l'autenticazione tramite identità gestita, le operazioni predefinite e gestite del connettore in App per la logica di Azure devono supportare OAuth con Microsoft Entra.

Le tabelle seguenti illustrano i connettori di esempio che supportano l'autenticazione dell'identità gestita, in base al tipo di app per la logica.

Tipo di connettore Connettori supportati
Predefinito - Gestione API di Azure
- Servizi app di Azure
- Funzioni di Azure
- HTTP
- HTTP + Webhook

Nota: le operazioni HTTP possono autenticare le connessioni agli account di archiviazione di Azure dietro i firewall di Azure usando l'identità assegnata dal sistema. Tuttavia, le operazioni HTTP non supportano l'identità assegnata dall'utente per l'autenticazione delle stesse connessioni.
Gestito - Servizio app di Azure
- Automazione di Azure
- Archiviazione BLOB di Azure
- Istanza di Azure Container
- Azure Cosmos DB
- Esplora dati di Azure
- Azure Data Factory
- Azure Data Lake
- Gemelli digitali di Azure
- Griglia di eventi di Azure
- Hub eventi di Azure
- Azure IoT Central V2
- Azure Key Vault
- Log di Monitoraggio di Azure
- Code di Azure
- Azure Resource Manager
- Bus di servizio di Azure
- Microsoft Sentinel
- Archiviazione tabelle di Azure
- Macchina virtuale di Azure
- SQL Server

Per un elenco più completo, vedere:

Abilitare l'identità assegnata dal sistema (portale)

In base al tipo di app per la logica, seguire i passaggi corrispondenti per il portale di Azure:

In una risorsa di un'app per la logica A consumo, abilitare manualmente l'identità assegnata dal sistema.

  1. Nel portale di Azure aprire la risorsa dell'app per la logica A consumo.

  2. Nella barra laterale dell'app per la logica, in Impostazioni selezionare Identità.

  3. Nella pagina Identità , in Assegnata dal sistema, selezionare e quindi selezionare Salva. Per confermare, selezionare .

    Screenshot che mostra il portale di Azure, l'app per la logica A consumo, la pagina Identità e la scheda Assegnata dal sistema con le opzioni Attivato e Salva selezionate.

    La risorsa dell'app per la logica può ora usare l'identità assegnata dal sistema. Questa identità viene registrata con Microsoft Entra ID ed è rappresentata da un ID oggetto.

    Screenshot che mostra la pagina Identità dell'app per la logica A consumo e l'ID oggetto per l'identità assegnata dal sistema.

    Proprietà Valore Descrizione
    ID oggetto (entità di sicurezza) < identity-resource-ID> Un identificatore univoco globale (GUID) che rappresenta l'identità assegnata dal sistema per l'app per la logica in un tenant di Microsoft Entra.

  4. Concedere all'identità l'accesso alla risorsa protetta.

Abilitare l'identità assegnata dal sistema (modello arm)

Per automatizzare la creazione e la distribuzione delle risorse dell'app per la logica, usare un modello ARM.

Nel tuo modello, al livello radice, la definizione della risorsa dell'applicazione logica richiede un identity oggetto con la type proprietà impostata su SystemAssigned, ad esempio:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Quando Azure crea la definizione di risorsa dell'app per la logica, l'oggetto identity ottiene le principalId e tenantId proprietà seguenti:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Entra-tenant-ID>"
}
Proprietà (JSON) Valore Descrizione
principalId < principal-ID> Identificatore univoco globale (GUID) usato da Microsoft Entra per gestire l'oggetto del servizio principale per l'identità gestita nel tenant Microsoft Entra. Questo GUID a volte viene visualizzato come "ID oggetto" o objectID.
tenantId < Microsoft-Entra-tenant-ID> L'identificatore univoco globale (GUID) che rappresenta il tenant di Microsoft Entra di cui l'app per la logica è ora membro. All'interno del tenant di Microsoft Entra, l'entità servizio ha lo stesso nome dell'istanza dell'app per la logica.

Creare un'identità assegnata dall'utente (portale)

È necessario creare l'identità come risorsa di Azure separata prima di poter abilitare l'identità assegnata dall'utente in una risorsa logica di tipo Consumption o Standard.

  1. Nella casella di ricerca del portale di Azure immettere managed identities. Nell'elenco dei risultati selezionare Identità gestite.

    Screenshot che mostra il portale di Azure con l'opzione selezionata denominata Identità gestite.

  2. Sulla barra degli strumenti della pagina Identità gestite selezionare Crea.

  3. Immettere le informazioni sull'identità gestita, ad esempio:

    Screenshot che mostra la pagina denominata Create User Assigned Managed Identity (Crea identità gestita assegnata dall'utente) con i dettagli dell'identità gestita.

    Proprietà Obbligatoria Valore Descrizione
    Sottoscrizione < Azure-subscription-name> Nome della sottoscrizione di Azure.
    Gruppo di risorse < Azure-resource-group-name> Nome del gruppo di risorse di Azure. Creare un nuovo gruppo o selezionare un gruppo esistente. In questo esempio viene creato un nuovo gruppo denominato fabrikam-managed-identities-RG.
    Area < Regione di Azure> Area di Azure in cui archiviare le informazioni sulla risorsa. Questo esempio usa West US.
    Nome < nome-identità-assegnata-dall'utente> Nome da assegnare all'identità assegnata dall'utente. Questo esempio usa Fabrikam-user-assigned-identity.
    Ambito di isolamento No - Nessuno (impostazione predefinita)
    - Regione    		 Scopo effettivo dell'identità gestita.

  4. Al termine, selezionare Rivedi e crea.

    Dopo che Azure convalida le informazioni, Azure crea l'identità gestita. A questo punto è possibile aggiungere l'identità assegnata dall'utente alla risorsa dell'app per la logica.

Aggiungere un'identità assegnata dall'utente alla Logic App (portale)

Dopo aver creato l'identità assegnata dall'utente, aggiungi l'identità alla risorsa dell'app di logica Consumption o Standard.

  1. Nel portale di Azure aprire la risorsa dell'app per la logica A consumo.

  2. Nella barra laterale dell'app per la logica, in Impostazioni selezionare Identità.

  3. Nella pagina Identità selezionare Assegnata dall'utente quindi selezionare Aggiungi.

    Screenshot che mostra l'app per la logica A consumo e la pagina Identità con l'opzione Aggiungi selezionata.

  4. Nel riquadro Aggiungi identità gestita assegnata dall'utente seguire questa procedura:

    1. Nell'elenco Selezionare una sottoscrizione selezionare la sottoscrizione di Azure.

    2. Nell'elenco delle identità gestite selezionare l'identità assegnata dall'utente desiderata.

      Per filtrare l'elenco, nella casella di ricerca Identità gestite assegnate dall'utente immettere il nome per l'identità o il gruppo di risorse, ad esempio:

      Screenshot che mostra un'app per la logica A consumo e un'identità assegnata dall'utente selezionata.

    3. Al termine, selezionare Aggiungi.

    L'app per la logica è ora associata all'identità assegnata dall'utente.

    Screenshot che mostra un'app per la logica A consumo con identità assegnata dall'utente associata.

  5. Concedere all'identità l'accesso alla risorsa protetta.

Creare un'identità assegnata dall'utente (modello arm)

Per automatizzare la creazione e la distribuzione delle risorse dell'app per la logica, usare un modello ARM. Questi modelli supportano le identità assegnate dall'utente per l'autenticazione.

Nella sezione resources del tuo modello, la definizione della risorsa della tua logic app richiede i seguenti elementi:

  • Oggetto identity con la type proprietà impostata su UserAssigned.
  • Oggetto figlio userAssignedIdentities che specifica la risorsa e il nome assegnati dall'utente.

L'esempio seguente mostra una risorsa dell'app per la logica a consumo e una definizione del flusso di lavoro per una richiesta HTTP PUT con un oggetto non parametrizzato identity . La risposta alla PUT richiesta e all'operazione successiva GET include anche questo identity oggetto .

Una risorsa dell'app per la logica A consumo può abilitare e avere definite sia l'identità assegnata dal sistema che più identità assegnate dall'utente.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Se il modello include la definizione di risorsa dell'identità gestita, è possibile parametrizzare l'oggetto identity . Nell'esempio seguente viene illustrato come l'oggetto userAssignedIdentities figlio faccia riferimento a una userAssignedIdentityName variabile definita nella sezione variables del modello. Questa variabile fa riferimento all'ID risorsa per l'identità assegnata dall'utente.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters('Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Quando il modello crea la definizione della risorsa dell'app per la logica, l'oggetto identity include le seguenti proprietà principalId e clientId:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-ID>": {
            "principalId": "<principal-ID>",
            "clientId": "<client-ID>"
        }
    }
}
Proprietà (JSON) Valore Descrizione
principalId < principal-ID> Identificatore univoco globale (GUID) che Microsoft Entra utilizza per amministrare l'oggetto dell'entità servizio dell'identità gestita nel tenant di Microsoft Entra. Questo GUID a volte viene visualizzato come "ID oggetto" o objectID. Nel tenant di Microsoft Entra, l'entità servizio ha lo stesso nome dell'istanza dell’app per la logica.
clientId < ID client> Identificatore univoco globale (GUID) che rappresenta l'identità dell'app per la logica e specifica l'identità da usare durante le chiamate di runtime.

Per ulteriori informazioni sui modelli di Azure Resource Manager e sulle identità gestite per Azure Functions, vedere Modello ARM - Funzioni di Azure.

Concedere alla risorsa l'accesso a un'identità

Prima di poter usare l'identità gestita per l'autenticazione, è necessario concedere all'identità l'accesso alla risorsa di Azure protetta di destinazione. Il modo in cui si configura l'accesso può variare in base alla risorsa di destinazione, ad esempio:

  • Controllo degli accessi basato sui ruoli di Azure

    Alcune risorse di Azure, come gli account di archiviazione, richiedono l'RBAC per assegnare un ruolo alla risorsa di destinazione con le autorizzazioni necessarie per il tuo identificativo.

    Ad esempio, per concedere a un'identità gestita l'accesso a un conto di archiviazione BLOB in Azure, è necessario assegnare all'identità il ruolo di Azure appropriato nella risorsa del conto di archiviazione.

    Questa sezione illustra come assegnare un ruolo usando il portale di Azure e il modello di Azure Resource Manager (modello arm).

    Per Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST di Azure, vedere:

    Strumento Documentazione
    Azure PowerShell Aggiungere un'assegnazione di ruolo
    Interfaccia della riga di comando di Azure Aggiungere un'assegnazione di ruolo
    API REST di Azure Aggiungere un'assegnazione di ruolo

  • Criteri di accesso

    Altre risorse di Azure, come i Key Vault, consentono anche di creare un criterio di accesso per la risorsa di destinazione con le autorizzazioni necessarie per l'identità.

    Ad esempio, è possibile creare un criterio di accesso sulla risorsa del key vault per assegnare i permessi necessari alla tua identità gestita.

    Questa sezione illustra come creare criteri di accesso usando il portale di Azure.

    Per i modelli di Resource Manager, Azure PowerShell e l'interfaccia della riga di comando di Azure, vedere:

    Strumento Documentazione
    Modello di Azure Resource Manager (modello di ARM) Definizione della risorsa dei criteri di accesso di Key Vault
    Azure PowerShell Assegnare criteri di accesso a Key Vault
    Interfaccia della riga di comando di Azure Assegnare criteri di accesso a Key Vault

Accesso delle identità gestite alle risorse di livello superiore

Se un'identità gestita ha accesso a una risorsa nella stessa sottoscrizione, l'identità può accedere solo a tale risorsa, non ad altre risorse nella gerarchia padre di tale risorsa. Nella finestra di progettazione del flusso di lavoro alcuni trigger e azioni richiedono di selezionare prima una sottoscrizione o un gruppo di risorse prima di poter selezionare la risorsa di destinazione. Se l'identità non ha accesso a queste risorse di livello superiore, nella finestra di progettazione non viene mostrata la risorsa di destinazione.

Per risolvere il problema, concedere all'identità l'accesso a ogni risorsa di livello superiore che è necessario prima selezionare.

In altri casi, l'identità deve anche accedere alla risorsa in cui è stata abilitata. Si supponga di avere un'azione del flusso di lavoro che aggiorna le configurazioni di un'applicazione nell'applicazione logica principale del flusso di lavoro, ad esempio. Se l'azione usa un'identità gestita per accedere a queste impostazioni, concedere all'identità l'accesso a tale istanza padre dell'app per la logica.

Assegnare l'accesso basato sui ruoli a un'identità gestita (portale)

Per le risorse di Azure che richiedono di assegnare un ruolo per l'identità gestita, seguire questa procedura:

  1. Nel portale di Azure apri la risorsa a cui l'identità deve avere accesso.

    Questo esempio usa un account di archiviazione come risorsa di Azure di destinazione.

  2. Nella barra laterale della risorsa selezionare Controllo di accesso (IAM).

  3. Nella barra degli strumenti della pagina Controllo di accesso (IAM), selezionare Aggiungi>Aggiungi assegnazione di ruolo.

    Note

    Se non è possibile selezionare Aggiungi assegnazione di ruolo, non si hanno le autorizzazioni per assegnare i ruoli. Sono necessarie autorizzazioni di amministratore di Microsoft Entra per poter assegnare ruoli alle identità gestite.

  4. Per assegnare il ruolo necessario all'identità gestita, seguire questa procedura:

    1. Nella scheda Ruolo individuare e selezionare il ruolo predefinito Microsoft Entra che fornisce all'identità l'accesso necessario alla risorsa corrente e quindi selezionare Avanti.

      In questo esempio viene selezionato il ruolo Collaboratore ai dati del BLOB di archiviazione. Questo ruolo consente l'accesso in scrittura al contenuto BLOB in un contenitore di archiviazione di Azure.

      Per altre informazioni, vedere Ruoli che accedono al contenuto BLOB in un contenitore di archiviazione di Azure.

    2. Nella scheda Membri seguire questa procedura per selezionare l'identità gestita:

      1. In Assegna accesso a, selezionare Identità gestita.

      2. Per Aggiungi membri selezionare + Seleziona membri.

      3. Nel riquadro Seleziona identità gestite selezionare la sottoscrizione di Azure.

      4. In base all'identità gestita, selezionare il tipo di identità gestita e quindi selezionare l'identità gestita.

        Tipo di identità gestita Descrizione
        Identità gestita assegnata dall'utente Visualizza e seleziona un'identità gestita assegnata dall'utente abilitata su qualsiasi risorsa di Azure.
        Tutte le identità gestite assegnate dal sistema Visualizzare e selezionare un'identità gestita assegnata dal sistema abilitata in qualsiasi risorsa di Azure.
        App per la logica Visualizzare e selezionare un'identità gestita abilitata solo sulle risorse dell'app per la logica.

      5. Al termine, Seleziona.

    Per ulteriori informazioni, vedere:

  5. Autenticate il trigger o l'azione usando l'identità gestita.

Creare criteri di accesso nel portale di Azure

Per le risorse di Azure in cui si vuole creare criteri di accesso per l'identità gestita, seguire questa procedura:

  1. Aprire nel portale di Azure la risorsa in cui l'identità deve accedere.

    Questo esempio usa un insieme di credenziali delle chiavi come risorsa di Azure di destinazione.

  2. Nella barra laterale della risorsa selezionare Criteri di accesso.

    Note

    Se la risorsa non ha l'opzione Criteri di accesso , assegnare invece un ruolo.

  3. Sulla barra degli strumenti della pagina selezionare Crea per aprire il riquadro Crea criteri di accesso .

    Screenshot che mostra il portale di Azure e un esempio di Key Vault con il riquadro aperto denominato Crea un criterio di accesso.

  4. Nella scheda Autorizzazioni selezionare le autorizzazioni necessarie all'identità per l'accesso alla risorsa di destinazione.

    Ad esempio, per usare l'identità con l'azione List secrets del connettore gestito di Azure Key Vault, l'identità necessita delle autorizzazioni List . In questo scenario, quindi, nella colonna Autorizzazioni segrete selezionare Elenco.

    La schermata mostra la scheda Autorizzazioni con le autorizzazioni elenco selezionate.

  5. Al termine dell'operazione, seleziona Avanti.

  6. Nella scheda Principale, selezionare l'identità gestita.

    In questo esempio viene selezionata un'identità assegnata dall'utente.

  7. Ignorare il passaggio facoltativo Applicazione, selezionare Avantie completare la creazione dei criteri di accesso.

  8. Autentica il trigger o l'azione utilizzando l'identità gestita.

Autenticare l'accesso usando l'identità gestita

Questa sezione illustra come usare un'identità gestita per autenticare l'accesso per un trigger o un'azione del flusso di lavoro che supporta l'autenticazione dell'identità gestita. L'esempio prosegue dal punto in cui è stato configurato l'accesso per un'identità gestita tramite RBAC e un account di archiviazione di Azure. Anche se la risorsa di Azure di destinazione potrebbe essere diversa, i passaggi generali sono per lo più simili.

Importante

Se si ha una funzione di Azure in cui si vuole usare l'identità assegnata dal sistema, abilitare prima l'autenticazione per le funzioni di Azure.

La procedura seguente illustra come usare l'identità gestita usando il portale di Azure. Per usare l'identità gestita nella definizione JSON sottostante usando l'editor di codice, vedere Autenticazione dell'identità gestita.

  1. Nel portale di Azure aprire la risorsa dell'app per la logica A consumo.

  2. Aggiungi il trigger o l'azione che supporta le identità gestite, se non l'hai già fatto.

  3. Nel trigger o nell'azione, seguire questa procedura:

    • Operazioni predefinite

      Questi passaggi usano l'azione HTTP come esempio.

      1. Nell'elenco Parametri avanzati selezionare il parametro Authentication .

        Screenshot che mostra un flusso di lavoro A consumo con un'azione HTTP predefinita e un elenco aperto denominato Parametri avanzati, con l'opzione di autenticazione selezionata.

        Vengono visualizzati sia il parametro Authentication che l'elenco Tipo di autenticazione , ad esempio:

        Screenshot che mostra la sezione Parametri avanzati con la proprietà di autenticazione e l'elenco Tipo di autenticazione.

      2. Nell'elenco Tipo di autenticazione selezionare Identità gestita.

        Screenshot che mostra un flusso di lavoro con un'azione predefinita, l'elenco Tipo di autenticazione aperto e l'opzione selezionata per Identità gestita.

        La sezione Autenticazione mostra ora le opzioni seguenti:

        Parametro Descrizione
        Identità gestita Identità gestita da usare.
        Destinatari Viene visualizzato in trigger e azioni specifici in modo da poter impostare l'ID risorsa per la risorsa o il servizio di destinazione di Azure.

        Per impostazione predefinita, il parametro Audience usa l'ID https://management.azure.com/ risorsa, ovvero l'ID risorsa per Azure Resource Manager.

      3. Nell'elenco Identità gestita selezionare l'identità desiderata, ad esempio:

        Screenshot che mostra la sezione Autenticazione con l'elenco Tipo di autenticazione e la proprietà Destinatari.

        Note

        Per impostazione predefinita, l'identità gestita assegnata dal sistema è l'opzione selezionata, anche quando non si abilitano identità gestite. Tuttavia, per usare correttamente l'identità gestita, è prima necessario abilitare tale identità nell'app per la logica. Le app per la logica a consumo non abilitano automaticamente l'identità del sistema a differenza delle app per la logica Standard.

      Per altre informazioni, vedere Esempio: Autenticare un trigger o un'azione predefinita con un'identità gestita.

    • Operazioni del connettore gestito

      1. Nell'elenco Autenticazione del riquadro Crea connessione selezionare Identità gestita, ad esempio:

        Screenshot che mostra il flusso di lavoro A consumo con l'azione di Azure Resource Manager e l'opzione selezionata per Identità gestita.

      2. Nel riquadro successivo, per Nome connessione, inserire un nome da utilizzare per la connessione.

      3. In base al connettore, scegliere una delle opzioni seguenti:

        • Autenticazione singola: questi connettori supportano un solo tipo di autenticazione, ovvero l'identità gestita in questo caso.

          La procedura seguente usa un'azione risorsa di Azure come esempio:

          1. Nell'elenco Identità gestita selezionare l'identità gestita attualmente abilitata.

          2. Seleziona Crea nuovo.

        • Autenticazione multipla: questi connettori supportano più tipi di autenticazione, ma è possibile selezionare e usare un solo tipo alla volta.

          La procedura seguente usa un'azione di Archiviazione BLOB di Azure come esempio:

          1. Nell'elenco Tipo di autenticazione selezionare Identità gestita di App per la logica.

            Screenshot che mostra il flusso di lavoro A consumo, la casella di creazione della connessione e l'opzione selezionata per l'identità gestita di App per la logica.

          2. Seleziona Crea nuovo.

          Per altre informazioni, vedere Esempio: Autenticare un trigger o un'azione di connettore gestito con un'identità gestita.

Esempio: autenticare un trigger o un'azione predefinita con un'identità gestita

Il trigger HTTP predefinito o l'azione possono usare l'identità assegnata dal sistema abilitata nella risorsa dell'app per la logica. In generale, il trigger HTTP o l'azione usa le proprietà seguenti per specificare la risorsa o l'entità a cui si vuole accedere:

Proprietà Obbligatoria Descrizione
Metodo Metodo HTTP per l'operazione che si vuole eseguire
URI L'URL dell'endpoint per l'accesso alla risorsa o all'entità di destinazione di Azure. La sintassi dell'URI include in genere l'ID risorsa per la risorsa o il servizio di Azure di destinazione.
Intestazioni No Eventuali valori di intestazione necessari o che si vuole includere nella richiesta in uscita, ad esempio il tipo di contenuto
Query No Tutti i parametri di query necessari o da includere nella richiesta. Ad esempio, i parametri di query per un'operazione specifica o per la versione API dell'operazione che si vuole eseguire.
autenticazione Il tipo di autenticazione da usare per autenticare l'accesso alla risorsa o al servizio di destinazione di Azure

Come esempio specifico, si supponga di voler eseguire l'operazione Snapshot BLOB in un BLOB nell'account di archiviazione di Azure in cui è stato precedentemente configurato l'accesso per l'identità. Tuttavia, il connettore di archiviazione BLOB di Azure attualmente non offre questa operazione. In alternativa, è possibile eseguire questa operazione usando l'azione HTTP o un'altra operazione dell'API REST del servizio BLOB.

Importante

Per accedere agli account di archiviazione di Azure dietro i firewall usando le identità connettore e gestite di Archiviazione BLOB di Azure, assicurarsi di configurare anche l'account di archiviazione con l'eccezione che consente l'accesso da parte di servizi Microsoft attendibili.

Per eseguire l'operazione Snapshot Blob, l'azione HTTP specifica le proprietà seguenti:

Proprietà Obbligatoria Valore di esempio Descrizione
URI https://<storage-account-name>/<folder-name>/{name} L'ID della risorsa per un file di archiviazione blob di Azure nell'ambiente globale (pubblico) di Azure, che utilizza questa sintassi.
Metodo PUT Metodo HTTP utilizzato dall'operazione Snapshot Blob.
Intestazioni Per Archiviazione di Azure x-ms-blob-type = BlockBlob

x-ms-version = 2024-05-05

x-ms-date = formatDateTime(utcNow(),'r')		 I valori di intestazione x-ms-blob-type, x-ms-version e x-ms-date richiesti per le operazioni di Archiviazione di Azure.

Importante: nel trigger HTTP in uscita e nelle richieste di azione per Archiviazione di Azure, l'intestazione richiede la proprietà x-ms-version e la versione dell'API per l'operazione da eseguire. Il x-ms-date valore deve essere la data corrente. In caso contrario, il flusso di lavoro ha esito negativo con un errore 403 FORBIDDEN. Per ottenere la data corrente nel formato richiesto, è possibile usare l'espressione nel valore di esempio.

Per altre informazioni, vedere:

- Intestazioni delle richieste - Snapshot BLOB
- Controllo delle versioni per i servizi di Archiviazione di Azure
Query Solo per l'operazione snapshot BLOB comp = snapshot Nome e valore del parametro di query per l'operazione.

  1. Nella finestra di progettazione del flusso di lavoro aggiungere qualsiasi trigger desiderato, quindi aggiungere l'azione HTTP.

    L'esempio seguente mostra un'azione HTTP di esempio con tutti i valori di proprietà descritti in precedenza da usare per l'operazione SNAPSHOT BLOB:

    Screenshot che mostra il portale di Azure, il flusso di lavoro A consumo e l'azione HTTP configurati per accedere alle risorse.

  2. Nell'azione HTTP selezionare Autenticazione nell'elenco Parametri avanzati.

    Screenshot che mostra il flusso di lavoro A consumo con l'azione HTTP e l'elenco Parametri avanzati aperti con la proprietà selezionata denominata Autenticazione.

    La sezione Autenticazione viene visualizzata nell'azione HTTP .

  3. Nell'elenco Tipo di autenticazione selezionare Identità gestita.

    Screenshot che mostra il flusso di lavoro A consumo, l'azione HTTP e la proprietà Tipo di autenticazione con l'opzione selezionata per Identità gestita.

  4. Nell'elenco Identità gestita selezionare tra le opzioni disponibili in base allo scenario.

    • Se si configura l'identità assegnata dal sistema, selezionare Identità gestita assegnata dal sistema.

      Screenshot che mostra il flusso di lavoro A consumo, l'azione HTTP e la proprietà di identità gestita con l'opzione selezionata per l'identità gestita assegnata dal sistema.

    • Se si configura l'identità assegnata dall'utente, selezionare tale identità.

      Screenshot che mostra il flusso di lavoro A consumo, l'azione HTTP e la proprietà di identità gestita con l'identità assegnata dall'utente selezionata.

    Questo esempio continua con l'Identità gestita assegnata dal sistema.

  5. Alcuni trigger e azioni mostrano il parametro Audience in modo da poter immettere l'ID risorsa per la risorsa o il servizio di Azure di destinazione.

    Ad esempio, per autenticare l'accesso a una risorsa di Key Vault nel cloud di Azure globale, impostare il parametro Audience su esattamente l'ID risorsa seguente: https://vault.azure.net

    In caso contrario, per impostazione predefinita, il parametro Audience usa l'ID https://management.azure.com/ risorsa, ovvero l'ID risorsa per Azure Resource Manager.

    Importante

    L'ID risorsa di destinazione deve corrispondere esattamente al valore previsto dall'ID Microsoft Entra. In caso contrario, è possibile che venga visualizzato un errore 400 Richiesta non valida o un errore 401 Non autorizzato . Se l'ID risorsa prevede barre finali, includerle. In caso contrario, non includerli.

    Ad esempio, l'ID risorsa per tutti gli account di archiviazione BLOB di Azure richiede una barra finale. Tuttavia, l'ID risorsa per un account di archiviazione specifico non richiede una barra finale. Controllare gli ID risorsa per i servizi di Azure che supportano Microsoft Entra ID.

    Nell'esempio seguente il parametro Audience viene impostato su https://storage.azure.com/. Questo valore significa che i token di accesso per l'autenticazione sono validi per tutti gli account di archiviazione. Per un account di archiviazione specifico, specificare l'URL del servizio radice, https://<your-storage-account>.blob.core.windows.net.

    Screenshot che mostra il flusso di lavoro A consumo e l'azione HTTP con la proprietà Audience impostata su ID risorsa di destinazione.

    Per ulteriori informazioni, vedere:

  6. Continuare a compilare il flusso di lavoro in base allo scenario in uso.

Esempio: Autenticare il trigger o l'azione del connettore gestito usando un'identità gestita

Il connettore gestito di Azure Resource Manager ha un'azione denominata Lettura di una risorsa che può usare l'identità gestita abilitata nella risorsa dell'app per la logica. Questo esempio illustra come usare l'identità gestita assegnata dal sistema con un connettore gestito.

  1. Nella finestra di progettazione del flusso di lavoro aggiungere l'azione Azure Resource Manager denominata Leggere una risorsa.

  2. Nell'elenco Autenticazione del riquadro Crea connessione selezionare Identità gestita e quindi selezionare Accedi.

    Note

    In alcuni connettori, l'elenco Tipo di autenticazione mostra invece Identità gestita delle Logic Apps. Se lo scenario mostra questa opzione, selezionare questa opzione.

    Screenshot che mostra il flusso di lavoro A consumo, l'azione di Azure Resource Manager, l'elenco Autenticazione aperta e l'opzione selezionata per Identità gestita.

  3. Immettere un nome per la connessione e selezionare l'identità gestita desiderata.

    Se è stata abilitata l'identità assegnata dal sistema, l'elenco Identità gestita seleziona automaticamente l'identità gestita assegnata dal sistema. Se invece è stata abilitata un'identità assegnata dall'utente, l'elenco seleziona automaticamente l'identità assegnata dall'utente.

    In questo esempio, l'identità gestita assegnata dal sistema è l'unica selezione disponibile.

    Screenshot che mostra il flusso di lavoro A consumo e l'azione di Azure Resource Manager con il nome della connessione immesso e l'opzione selezionata per l'identità gestita assegnata dal sistema.

    Note

    Se non si abilita l'identità gestita quando si tenta di creare o modificare la connessione o se si rimuove l'identità gestita mentre esiste ancora una connessione abilitata per l'identità gestita, viene visualizzato un errore che indica che è necessario abilitare l'identità e concedere l'accesso alla risorsa di destinazione.

  4. Al termine, selezionare Crea nuovo.

    Dopo aver creato la connessione, il designer può recuperare qualsiasi valore dinamico, contenuto o schema tramite l'autenticazione con identità gestita.

  5. Continuare a compilare il flusso di lavoro in base allo scenario in uso.

Connessioni con identità gestite nelle definizioni delle risorse delle app logiche

Un tipo di connessione autenticata con identità gestita è un tipo di connessione speciale che funziona solo con un'identità gestita. In fase di esecuzione del flusso di lavoro, la connessione usa l'identità gestita abilitata nella risorsa dell'app per la logica. App per la logica di Azure controlla se le operazioni del connettore gestito nel flusso di lavoro usano l'identità gestita e se tutte le autorizzazioni necessarie esistono per usare l'identità gestita per accedere alle risorse di destinazione corrispondenti. Se questo controllo viene superato correttamente, App per la logica di Azure ottiene il token Microsoft Entra associato all'identità gestita, usa tale identità per autenticare l'accesso alle risorse di Azure di destinazione ed esegue le operazioni corrispondenti nel flusso di lavoro.

In una risorsa dell'app per la logica A consumo, viene salvata la configurazione della connessione nell'oggetto parameters di definizione della risorsa. Questo oggetto contiene l'oggetto $connections che include puntatori all'ID risorsa della connessione insieme all'ID risorsa dell'identità gestita quando si abilita l'identità assegnata dall'utente.

L'esempio seguente mostra l'oggetto parameters quando l'identità assegnata dal sistema è abilitata in un'app per la logica:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

L'esempio seguente mostra l'oggetto parameters quando l'identità gestita assegnata dall'utente è abilitata in un'app per la logica:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/microsoft.managedidentity/userassignedidentities/<managed-identity-name>"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

Modello di ARM per le connessioni API e le identità gestite

Se si usa un modello ARM per automatizzare la distribuzione e il flusso di lavoro include una connessione API creata da un connettore gestito e utilizza un'identità gestita, è necessario compiere un passaggio extra.

In un modello ARM, la definizione della risorsa connettore sottostante differisce a seconda che si utilizzi una risorsa dell'app per la logica di tipo Consumption o Standard, e a seconda che il connettore mostri opzioni di autenticazione singola o autenticazione multipla.

Gli esempi seguenti si applicano alle risorse dell'app per la logica di consumo. Mostrano in che modo la definizione di risorsa connettore sottostante differisce tra un connettore di autenticazione singola e un connettore multiautenticazione.

Autenticazione singola

Questo esempio mostra la definizione di risorsa di connessione sottostante per un'azione del connettore che supporta un solo tipo di autenticazione e usa un'identità gestita in un flusso di lavoro dell'app per la logica a consumo. La definizione include gli attributi seguenti:

  • La kind proprietà è impostata su V1 per il flusso di lavoro Consumption.

  • La proprietà parameterValueType è impostata su Alternative.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Più metodi di autenticazione

Questo esempio mostra la definizione di risorsa di connessione sottostante per un'azione del connettore che supporta più tipi di autenticazione e usa un'identità gestita in un flusso di lavoro dell'app per la logica a consumo. La definizione include gli attributi seguenti:

  • La proprietà kind è impostata su V1 per un flusso di lavoro di consumo.

  • L'oggetto parameterValueSet include una proprietà name impostata su managedIdentityAuth e una values impostata su un oggetto vuoto.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {
            "name": "managedIdentityAuth",
            "values": {}
        }
    }
}

Configurare il controllo avanzato per l'autenticazione della connessione API

Quando il workflow dell'app logica Standard utilizza una connessione API che un connettore gestito crea, Azure Logic Apps utilizza due connessioni per comunicare con la risorsa di destinazione, ad esempio l'account di posta elettronica o l'archivio chiavi.

Diagramma concettuale che mostra la prima connessione con l'autenticazione tra l'app per la logica e l'archivio token più la seconda connessione tra l'archivio token e la risorsa di destinazione.

  • La connessione n. 1 viene configurata con l'autenticazione per l'archivio token interno.

  • La connessione n. 2 è configurata con l'autenticazione per la risorsa di destinazione.

Tuttavia, quando un flusso di lavoro dell'app per la logica a consumo usa una connessione API, non è possibile visualizzare o configurare la connessione n. 1. Se si usa una risorsa dell'app per la logica Standard, si ottiene un maggiore controllo sull'app per la logica e sui flussi di lavoro. Per impostazione predefinita, la connessione 1 usa l'identità assegnata dal sistema.

Se lo scenario richiede un controllo più corretto sull'autenticazione delle connessioni API, modificare l'autenticazione per la connessione #1 dall'identità assegnata dal sistema predefinita a qualsiasi identità assegnata dall'utente aggiunta all'app per la logica. Questa autenticazione si applica a ogni connessione API, quindi è possibile combinare identità assegnate dal sistema e assegnate dall'utente tra connessioni diverse alla stessa risorsa di destinazione.

Nel file connections.json dell'app di logica Standard, che archivia informazioni su ogni connessione API, ogni definizione di connessione ha due authentication oggetti, ad esempio:

"keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  • Il primo authentication oggetto corrisponde alla connessione numero 1.

    Questo oggetto descrive l'autenticazione usata per comunicare con l'archivio token interno. In passato, la type proprietà era sempre impostata su ManagedServiceIdentity per un'app che distribuisce in Azure e non aveva opzioni configurabili.

  • Il secondo authentication oggetto corrisponde alla connessione n. 2.

    Questo oggetto descrive l'autenticazione usata per comunicare con la risorsa di destinazione e può variare in base al tipo di autenticazione selezionato per tale connessione.

Perché modificare l'autenticazione per l'archivio token?

In alcuni scenari, è possibile condividere e usare la stessa connessione API tra più risorse dell'app per la logica, ma non si vuole aggiungere l'identità assegnata dal sistema per ogni risorsa dell'app per la logica ai criteri di accesso della risorsa di destinazione.

In altri scenari, potrebbe non essere necessario configurare l'identità assegnata dal sistema nell'app per la logica. Per usare invece un'identità assegnata dall'utente, è possibile modificare l'autenticazione in un'identità assegnata dall'utente e disabilitare completamente l'identità assegnata dal sistema.

Modificare l'autenticazione per l'archivio token

  1. Nel portale di Azure, aprire la risorsa dell’app per la logica Standard.

  2. Nella barra laterale della risorsa, in Flussi di lavoro, selezionare Connessioni.

  3. Nel riquadro Connessioni selezionare Vista JSON.

    Screenshot che mostra il portale di Azure, la risorsa dell'app per la logica Standard, il riquadro Connessioni con la visualizzazione JSON selezionata.

  4. Nell'editor JSON trovare l'oggetto managedApiConnections . Questo oggetto contiene le connessioni API in tutti i flussi di lavoro nella risorsa dell'app per la logica.

  5. Trovare la connessione in cui si vuole aggiungere un'identità gestita assegnata dall'utente.

    Si supponga, ad esempio, che il flusso di lavoro abbia una connessione di Azure Key Vault:

    "keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity"
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  6. Nella definizione di connessione seguire questa procedura:

    1. Trovare il primo authentication oggetto. Se in questo identity oggetto non esiste alcuna authentication proprietà, l'app per la logica usa in modo implicito l'identità assegnata dal sistema.

    2. Aggiungere una proprietà identity usando l'esempio in questo passaggio.

    3. Impostare il valore della proprietà sull'ID risorsa per l'identità assegnata dall'utente.

    "keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
      // Add "identity" property here
      "identity": "/subscriptions/<Azure-subscription-ID>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-resource-ID>"
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  7. Nel portale di Azure passare alla risorsa di destinazione e concedere l'accesso all'identità gestita assegnata dall'utente, in base alle esigenze della risorsa di destinazione.

    Ad esempio, per Azure Key Vault, aggiungere l'identità ai criteri di accesso dell'insieme di credenziali delle chiavi. Per Archiviazione BLOB di Azure assegnare il ruolo necessario per l'identità all'account di archiviazione.

Disabilitare l'identità gestita

Per interrompere l'uso dell'identità gestita per l'autenticazione, seguire questa procedura:

  1. Rimuovere l'accesso dell'identità alla risorsa di destinazione.

  2. Nella risorsa dell'app per la logica, disabilitare l'identità assegnata dal sistema o rimuovere l'identità assegnata dall'utente.

Quando si disattiva l'identità gestita nella risorsa dell'app per la logica, si rimuove la funzionalità per tale identità per richiedere l'accesso alle risorse di Azure a cui l'identità ha accesso.

Note

Se si disabilita l'identità assegnata dal sistema, tutte le connessioni che usano l'identità nei flussi di lavoro dell'app per la logica smetteno di funzionare in fase di esecuzione, anche se si abilita immediatamente l'identità.

Questo comportamento si verifica perché la disabilitazione dell'identità elimina l'ID oggetto. Ogni volta che si abilita l'identità, Azure genera l'identità con un ID oggetto diverso e univoco. Per risolvere questo problema, ricreare le connessioni in modo che utilizzino l'ID oggetto attuale per l'identità assegnata dal sistema.

Evitare di disabilitare l'identità assegnata dal sistema il più possibile. Per rimuovere l'accesso dell'identità alle risorse di Azure, rimuovere l'assegnazione di ruolo dell'identità dalla risorsa di destinazione. Se si elimina la risorsa dell'app per la logica, Azure rimuove automaticamente l'identità gestita da Microsoft Entra ID.

Le sezioni seguenti illustrano come disabilitare l'identità gestita usando il Portale di Azure e il modello di Azure Resource Manager (ARM template). Per Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST di Azure, vedere:

Strumento Documentazione
Azure PowerShell 1. Rimuovere l'assegnazione di ruolo.
2. Eliminare l'identità assegnata dall'utente.
Interfaccia della riga di comando di Azure 1. Rimuovere l'assegnazione di ruolo.
2. Eliminare l'identità assegnata dall'utente.
API REST di Azure 1. Rimuovere l'assegnazione di ruolo.
2. Eliminare l'identità assegnata dall'utente.

Per altre informazioni, vedere Rimuovere le assegnazioni di ruolo di Azure.

Disabilitare l'identità gestita nel portale di Azure

Per rimuovere l'accesso per l'identità gestita, rimuovere l'assegnazione di ruolo dell'identità dalla risorsa di destinazione e quindi disabilitare l'identità gestita.

Rimuovere l'assegnazione di ruolo

La procedura seguente consente di rimuovere l'accesso alla risorsa di destinazione dall'identità gestita:

  1. Nel portale di Azure passare alla risorsa di destinazione di Azure in cui si vuole rimuovere l'accesso per l'identità gestita.

  2. Nella barra laterale della risorsa di destinazione selezionare Controllo di accesso (IAM). Nella barra degli strumenti selezionare Assegnazioni di ruoli.

  3. Nell'elenco dei ruoli selezionare le identità gestite che si vuole rimuovere. Nella barra degli strumenti selezionare Rimuovi.

    Note

    Se l'opzione Rimuovi è disabilitata, è probabile che non si abbiano le autorizzazioni. Per altre informazioni sulle autorizzazioni che consentono di gestire i ruoli per le risorse, vedere Autorizzazioni del ruolo di amministratore in Microsoft Entra ID.

Disabilitare l'identità gestita nella risorsa dell'app per la logica

  1. Nel portale di Azure aprire la risorsa app per la logica.

  2. Nella barra laterale della risorsa dell'app per la logica, in Impostazioni selezionare Identità e quindi seguire la procedura per l'identità:

    • Selezionare Assegnata dal sistema>Attiva>Salva. Quando Azure chiede di confermare, selezionare .

    • Selezionare Assegnata dall'utente e l'identità gestita, quindi selezionare Rimuovi. Quando Azure chiede di confermare, selezionare .

Disabilitare l'identità gestita in un modello di ARM

Se l'identità gestita dell'app per la logica è stata creata con un modello di ARM, impostare la proprietà figlio identity dell'oggetto type su None.

"identity": {
   "type": "None"
}

Contenuti correlati

  • Last updated on