Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ Front Door Standard ✔️ Front Door Premium
Las identidades administradas proporcionadas por el identificador de Entra de Microsoft permiten que la instancia de Azure Front Door Standard/Premium acceda de forma segura a otros recursos protegidos de Microsoft Entra, como Azure Blob Storage, sin necesidad de administrar las credenciales. Para más información, consulte ¿Qué es Managed Identities for Azure Resources?
Después de habilitar la identidad administrada para Azure Front Door y conceder los permisos necesarios a su origen, Front Door usará la identidad administrada para obtener un token de acceso de Microsoft Entra ID para acceder al recurso especificado. Después de obtener correctamente el token, Front Door establecerá el valor del token en el encabezado Authorization mediante el esquema Bearer y, a continuación, reenviará la solicitud al origen. Front Door almacena en caché el token hasta que expira.
Note
Esta característica no se admite actualmente para orígenes con Private Link habilitado en Front Door.
Azure Front Door admite dos tipos de identidades administradas:
- Identidad asignada por el sistema: esta identidad está vinculada al servicio y se elimina si se elimina el servicio. Cada servicio solo puede tener una identidad asignada por el sistema.
- Identidad asignada por el usuario: se trata de un recurso de Azure independiente que se puede asignar al servicio. Cada servicio puede tener varias identidades asignadas por el usuario.
Las identidades administradas son específicas del inquilino de Microsoft Entra donde se hospeda la suscripción de Azure. Si una suscripción se mueve a un directorio diferente, debe volver a crear y volver a configurar la identidad.
Prerequisites
Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Un perfil Estándar o Premium de Azure Front Door. Para crear un nuevo perfil, consulte creación de una instancia de Azure Front Door.
Habilitar identidad administrada
Vaya a su perfil Azure Front Door existente. Seleccione Identidad en Seguridad en el menú de la izquierda.
Elija una identidad administrada asignada por el sistema o asignada por el usuario .
Asignado por el sistema : una identidad administrada vinculada al ciclo de vida del perfil de Azure Front Door.
Usuario asignado : un recurso de identidad administrada independiente con su propio ciclo de vida.
Asignado por el sistema
Cambie el estado a Activado y seleccione Guardar.
Para confirmar la creación de una identidad administrada del sistema para el perfil de Front Door, seleccione Sí cuando se le solicite.
Asignado por el usuario
Para usar una identidad administrada asignada por el usuario, debe tener una ya creada. Para obtener instrucciones sobre cómo crear una nueva identidad, consulte crear una identidad administrada asignada por el usuario.
En la pestaña Usuario asignado , seleccione + Agregar para agregar una identidad administrada asignada por el usuario.
Busque y seleccione la identidad administrada asignada por el usuario. A continuación, seleccione Agregar para asociarlo al perfil de Azure Front Door.
El nombre de la identidad administrada asignada por el usuario seleccionada aparece en el perfil de Azure Front Door.
Asociación de la identidad a un grupo de origen
Note
La asociación solo funcionará si
- el grupo de origen no contiene ningún origen con private link habilitado.
- el protocolo de sondeo de estado se establece en "HTTPS" en la configuración del grupo de origen.
- el protocolo de reenvío se establece en "Solo HTTPS" en la configuración de ruta.
- el protocolo de reenvío se configura como "Solo HTTPS" en caso de que use una acción "Anulación de configuración de ruta" en conjuntos de reglas.
Advertencia
A partir de aquí, si usa autenticación de origen entre Front Door y Storage; la secuencia de pasos para habilitar la autenticación de origen es muy importante y puede causar problemas si no se sigue la secuencia adecuada.
- Si usa una cuenta de almacenamiento con acceso anónimo público habilitado, siga los pasos siguientes en la secuencia exacta: "Asociar la identidad a un grupo de origen" seguido de "Proporcionar acceso en el recurso de origen". Una vez completados todos los pasos, puede deshabilitar el acceso anónimo público para permitir solo el acceso a la cuenta de almacenamiento desde Front Door.
- Si usa una cuenta de almacenamiento con acceso anónimo público deshabilitado, debe seguir una secuencia diferente. En primer lugar, realice los pasos para "Proporcionar acceso en el recurso de origen" seguido de "Asociar la identidad a un grupo de origen". Comience a enviar tráfico a través de Front Door a la cuenta de almacenamiento solo después de completar todos los pasos de la secuencia mencionada anteriormente.
Vaya al perfil de Azure Front Door existente y abra grupos de origen.
Seleccione un grupo de origen existente que ya tenga los orígenes configurados.
Desplácese hacia abajo hasta la sección Autenticación .
Habilite la autenticación de origen.
Elija entre identidad administrada asignada por el sistema o asignada por el usuario.
Escriba el ámbito correcto en el campo Ámbito .
Haga clic en Update (Actualizar).
Proporcionar acceso al recurso de origen
- Vaya a la página de administración del recurso de origen. Por ejemplo, si el origen es azure Blob Storage, vaya a esa página de administración de cuentas de almacenamiento.
Note
El siguiente paso asume que el origen es el almacenamiento blob de Azure. Si usa otro tipo de recurso, asegúrese de seleccionar el rol de función de trabajo adecuado durante la asignación de roles. De lo contrario, los pasos siguen siendo los mismos para la mayoría de los tipos de recursos.
- Vaya a la sección Control de acceso (IAM) y haga clic en Agregar. Elija Agregar asignación de roles en el menú desplegable.
- En Roles de funciones de trabajo en la pestaña Roles, seleccione un rol apropiado (por ejemplo, Lector de datos de Storage Blob) en la lista y, a continuación, seleccione Siguiente.
Importante
Al conceder cualquier identidad, incluida una identidad administrada, permisos para acceder a los servicios, siempre conceda los permisos mínimos necesarios para realizar las acciones deseadas. Por ejemplo, si se usa una identidad administrada para leer datos de una cuenta de almacenamiento, no es necesario permitir que los permisos de identidad también escriban datos en la cuenta de almacenamiento. Conceder permisos adicionales, como hacer que la identidad administrada sea colaboradora de una cuenta de almacenamiento cuando no es necesario, puede hacer que las solicitudes que se realicen a través de AFD sean capaces de efectuar operaciones de escritura y eliminación.
- En la pestaña Miembros , en asignar acceso a, elija Identidad administrada y, a continuación, haga clic en Seleccionar miembros.
- Se abre la ventana Seleccionar identidades administradas . Elija la suscripción donde se encuentra Front Door y, en la lista desplegable Identidad administrada , elija Perfiles de Front Door y CDN. En la lista desplegable Seleccionar , elija la identidad administrada creada para Front Door. Haga clic en el botón Seleccionar de la parte inferior.
- Seleccione Revisar y asignar, a continuación, seleccione Revisar y asignar de nuevo después de completar la validación.
Sugerencias al usar la autenticación de origen
- Si encuentra errores durante la configuración del grupo de origen,
- Asegúrese de que el protocolo de sondeo de estado esté establecido en HTTPS.
- Asegúrese de que el protocolo de reenvío dentro de los ajustes de ruta y/o los ajustes de sobrescritura de configuración de ruta (en conjuntos de reglas) esté configurado como "Solo HTTPS".
- Asegúrese de que no haya orígenes habilitados para enlace privado en el grupo de orígenes.
- Si ve 'Acceso denegado: respuestas desde el origen', verifique que la identidad administrada tenga el rol adecuado asignado para acceder al recurso de origen.
- Transición desde tokens de SAS para almacenamiento: Si está realizando la transición desde tokens de SAS hacia identidades administradas, siga un enfoque paso a paso para evitar el tiempo de inactividad. Habilite la identidad administrada, asóciela al origen y, a continuación, deje de usar tokens de SAS.
- Después de habilitar la autenticación de origen en la configuración del grupo de origen, no debe deshabilitar ni eliminar directamente las identidades de la configuración de identidad en el portal de Front Door ni eliminar directamente la identidad administrada asignada por el usuario en el portal de identidades administradas. Si lo hace, se producirá un error en la autenticación de origen inmediatamente. En su lugar, si desea dejar de usar la característica de autenticación de origen o desea eliminar o deshabilitar las identidades, deshabilite primero las restricciones de acceso en la sección Control de acceso (IAM) del recurso de origen para que el origen sea accesible sin necesidad de una identidad administrada o un token de id. entra. A continuación, deshabilite la autenticación de origen en la configuración del grupo de origen de Front Door. Espere un tiempo para que la configuración se actualice y, a continuación, elimine o deshabilite la identidad si es necesario.
- Si los clientes ya envían sus propios tokens bajo el encabezado de autorización, AFD sobrescribirá el valor del token con el token de autenticación de origen. Si quiere que AFD envíe el token de cliente al origen, puede configurar una regla de AFD mediante la variable de servidor {http_req_header_Authorization} para enviar el token bajo un encabezado independiente.
- Se recomienda usar diferentes identidades administradas para la autenticación de origen y para la autenticación de AFD en Azure Key Vault.
- Para conocer los procedimientos recomendados al usar identidades administradas, consulte recomendaciones de procedimientos recomendados de identidad administrada.
- Para conocer los procedimientos recomendados al asignar el rol RBAC para la cuenta de almacenamiento de Azure, consulte Asignación de un rol de Azure para el acceso a datos de blobs.