Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Avviso di deprecazione: Questo articolo è deprecato e non viene più aggiornato. Per garantire che vengano visualizzate solo le indicazioni migliori, questo articolo verrà eliminato a maggio 2026.
Per indicazioni alternative, vedere App contenitore di Azure linee guida per l'architettura nel Centro architetture di Azure.
Se si desidera salvare queste indicazioni, è possibile selezionare Download a PDF in basso a sinistra della pagina o scaricare i file da GitHub.
Per proteggere l'applicazione, è possibile abilitare l'autenticazione e l'autorizzazione tramite un provider di identità, ad esempio Microsoft Entra ID o Microsoft Entra per ID esterno.
È consigliabile usare l'identità gestita anziché un principale del servizio per connettersi ad altre risorse nella tua applicazione di contenitore. L'identità gestita è preferibile in quanto nega la necessità di gestire le credenziali. È possibile usare identità gestite assegnate dal sistema o assegnate dall'utente. Le identità gestite assegnate dal sistema offrono il vantaggio di condividere un ciclo di vita con la risorsa Azure a cui sono collegati, ad esempio un'app contenitore. Al contrario, un'identità gestita assegnata dall'utente è una risorsa Azure indipendente che può essere riutilizzata tra più risorse, promuovendo un approccio più efficiente e centralizzato alla gestione delle identità.
Consigli
Se è necessaria l'autenticazione, usare Microsoft Entra ID o Entra External ID come provider di identità.
Usare registrazioni di app separate per gli ambienti dell'applicazione. Ad esempio, creare una registrazione diversa per lo sviluppo rispetto al test e alla produzione.
Usare le identità gestite assegnate dall'utente, a meno che non esista un requisito sicuro per l'uso di identità gestite assegnate dal sistema. L'implementazione dell'acceleratore di zona di destinazione usa le identità gestite assegnate dall'utente per i motivi seguenti:
- Riutilizzabilità: poiché è possibile creare e gestire le identità separatamente dalle risorse Azure a cui sono assegnate, ciò consente di riutilizzare la stessa identità gestita tra più risorse, promuovendo un approccio più efficiente e centralizzato alla gestione delle identità.
- Gestione del ciclo di vita delle identità: è possibile creare, eliminare e gestire in modo indipendente le identità gestite assegnate dall'utente, semplificando la gestione delle attività correlate all'identità senza influire sulle risorse Azure usandole.
- Concessione di autorizzazioni: si ha maggiore flessibilità nella concessione delle autorizzazioni con identità gestite assegnate dall'utente. È possibile assegnare queste identità a risorse o servizi specifici in base alle esigenze, semplificando il controllo dell'accesso a varie risorse e servizi.
Usare Azure ruoli predefiniti per assegnare autorizzazioni con privilegi minimi a risorse e utenti.
Assicurarsi che l'accesso agli ambienti di produzione sia limitato. Idealmente, nessuno ha accesso permanente agli ambienti di produzione, ma si basa sull'automazione per gestire le distribuzioni e Privileged Identity Management per l'accesso di emergenza.
Creare ambienti di produzione e ambienti non di produzione in sottoscrizioni Azure separate per delineare i limiti di sicurezza.