Azure · Entra ID · Managed Identity · Segurança
¿Qué es Azure Managed Identity?
La gestión de contraseñas y credenciales siempre ha sido un desafío para los desarrolladores, especialmente para la comunicación entre servicios. Aunque es posible utilizar el Azure Key Vault para almacenar dicha información de forma segura, los servicios necesitan una forma de acceder a él.
Con Azure Managed Identity es posible eliminar la necesidad de que los desarrolladores manejen contraseñas y credenciales, manteniendo la comunicación segura entre los servicios.
Pero ¿qué es Azure Managed Identity?
¿Qué es Azure Managed Identity?
Una Managed Identity no es más que un service principal especial que se crea y gestiona automáticamente en Microsoft Entra ID, donde obtiene tokens para que recursos que soportan la autenticación de Microsoft Entra ID puedan establecer una comunicación entre sí, sin tener que preocuparse por credenciales.
Actualmente, existen dos tipos de Managed Identity, y aquí están algunas diferencias entre ellos
System Assigned
- Vinculado al ciclo de vida del recurso, es decir, si el recurso se elimina, la Managed Identity se elimina automáticamente
- Por diseño, solo el recurso de Azure puede usar esta identidad para solicitar tokens de Microsoft Entra ID
User Assigned
- Gestionada por separado de los recursos que la utilizan, es decir, incluso si el recurso se elimina, la Managed Identity no se eliminará
- Puede ser utilizada por varios recursos
En cualquiera de los dos tipos usted autoriza la identidad gestionada a tener acceso a uno o más servicios
Explicando la utilización
Independientemente del tipo de Managed Identity que elija, siempre habrá un recurso “origen” y un recurso “destino”, siendo:
Origen
- Recurso donde la Managed Identity será creada/asignada, ya sea System Assigned o User Assigned
- Managed Identity solicitará a Entra ID el token para poder establecer la comunicación con el “destino”
- Entra ID emitirá el token y, entonces, el recurso “origen” autenticará con ese token en el “destino”
Destino
- Recurso al que la “origen” se va a conectar
- La Managed Identity de la “origen” necesita tener acceso concedido vía Role Based Access Control
- El acceso a SQL Database se concede directamente en la base mediante la creación de un login
En la imagen a continuación, podemos ver
- La “origen” (Web App con Managed Identity) que solicitará a Microsoft Entra ID el token
- Microsoft Entra ID emite el token para la Managed Identity
- La Managed Identity utilizará el token para autenticarse en la Azure SQL Database

¿Qué servicios en Azure soportan el Managed Identity?
A la lista es extensa y, según Microsoft, “esta lista no incluye todos los artículos que hablan sobre las identidades gestionadas […] Las informaciones de namespace del proveedor de recursos están disponibles en el artículo titulado Provedores de recursos para servicios de Azure“
- API Management
- Application Gateway
- Azure App Configuration
- Azure App Services
- Azure Arc enabled Kubernetes
- Azure Arc enabled servers
- Azure Automanage
- Azure Automation
- Azure Batch
- Azure Blueprints
- Azure Cache for Redis
- Azure Communications Gateway
- Azure Communication Services
- Azure Container Apps
- Azure Container Instance
- Azure Container Registry
- Azure AI services
- Azure Data Box
- Azure Data Explorer
- Azure Data Factory
- Azure Data Lake Storage Gen1
- Azure Data Share
- Azure DevTest Labs
- Azure Digital Twins
- Azure Event Grid
- Azure Event Hubs
- Azure Image Builder
- Azure Import/Export
- Azure IoT Hub
- Azure Kubernetes Service (AKS)
- Azure Load Testing
- Azure Logic Apps
- Azure Log Analytics cluster
- Azure Machine Learning Services
- Azure Managed Disk
- Azure Media services
- Azure Monitor
- Azure Policy
- Microsoft Purview
- Azure Resource Mover
- Azure Site Recovery
- Azure Search
- Azure Service Bus
- Azure Service Fabric
- Azure SignalR Service
- Azure Spring Apps
- Azure SQL
- Azure SQL Managed Instance
- Azure Stack Edge
- Azure Static Web Apps
- Azure Stream Analytics
- Azure Synapse
- Azure VM image builder
- Azure Virtual Machine Scale Sets
- Azure Virtual Machines
- Azure Web PubSub Service
¿Qué operaciones se pueden realizar con las Identidades Gestionadas?
Independientemente del tipo de Managed Identity, usted puede:
- Utilizar el Control de Acceso Basado en Roles para conceder permisos
- Verificar las operaciones Create, Read, Update y Delete (CRUD) en los registros de actividades de Azure
- Mostrar la actividad de entrada en los registros de entrada de Microsoft Entra ID
Pero existen algunas diferencias si opta por System o User Assigned
System Assigned
- Habilitar o deshabilitar Managed Identities a nivel del recurso
User Assigned
- Puede crear, leer, actualizar y excluir Managed Identities
Puede utilizar Managed Identities ejecutando Azure Resource Manager (ARM), Portal de Azure, Azure CLI, PowerShell y APIs REST.