Autenticar aplicaciones Java hospedadas en Azure a los recursos de Azure mediante una identidad administrada asignada por el usuario

El enfoque recomendado para autenticar una aplicación hospedada Azure en otros recursos de Azure consiste en usar una identidad administrada. La mayoría de los servicios Azure admiten este enfoque, incluidas las aplicaciones hospedadas en Azure App Service, Azure Container Apps y Azure Virtual Machines. Para obtener más información, consulte Azure servicios y tipos de recursos que admiten identidades administradas. Para obtener más información sobre las distintas técnicas y enfoques de autenticación, consulte Autenticar aplicaciones Java para servicios de Azure mediante la biblioteca de identidades de Azure.

En las secciones siguientes, obtendrá información sobre:

Conceptos esenciales de identidad administrada.
Cómo crear una identidad administrada asignada por el usuario para la aplicación.
Asignación de roles a la identidad administrada asignada por el usuario.
Cómo autenticarse mediante la identidad administrada asignada por el usuario desde el código de la aplicación.

Conceptos esenciales de identidad administrada

Una identidad administrada permite a la aplicación conectarse de forma segura a otros recursos de Azure sin el uso de claves secretas u otros secretos de aplicación. Internamente, Azure realiza un seguimiento de la identidad y a qué recursos puede conectarse. Azure usa esta información para obtener automáticamente tokens de Microsoft Entra para la aplicación para permitir que se conecte a otros recursos de Azure.

Hay dos tipos de identidades administradas que se deben tener en cuenta al configurar la aplicación hospedada:

Las identidades administradas asignadas por el sistema están habilitadas directamente en un recurso Azure y están vinculadas a su ciclo de vida. Cuando se elimina el recurso, Azure elimina la identidad automáticamente. Las identidades asignadas por el sistema proporcionan un enfoque minimalista para usar identidades administradas.
Identidades administradas asignadas por el usuario se crean como recursos de Azure independientes y ofrecen mayor flexibilidad y capacidades. Son ideales para soluciones que implican varios recursos de Azure que necesitan compartir la misma identidad y permisos. Por ejemplo, si varias máquinas virtuales necesitan acceder al mismo conjunto de recursos de Azure, una identidad administrada asignada por el usuario proporciona reutilizabilidad y administración optimizada.

Sugerencia

Obtenga más información sobre cómo seleccionar y administrar identidades administradas asignadas por el sistema y por el usuario en el artículo de Recomendaciones de mejores prácticas para identidades administradas.

En las secciones siguientes se describen los pasos para habilitar y usar una identidad administrada asignada por el usuario para una aplicación hospedada Azure. Si necesita usar una identidad administrada asignada por el sistema, consulte Autenticar aplicaciones Java hospedadas en Azure para acceder a recursos de Azure mediante una identidad administrada asignada por el sistema.

Creación de una identidad administrada asignada por el usuario

Las identidades administradas asignadas por el usuario se crean como recursos independientes en la suscripción de Azure mediante el portal de Azure o el Azure CLI. Los comandos de Azure CLI se pueden ejecutar en el Azure Cloud Shell o en una estación de trabajo con el Azure CLI instalado.

Azure Portal
Azure CLI

En el portal de Azure, escriba Managed identities en la barra de búsqueda principal y seleccione el resultado coincidente en la sección Services.
En la página Identidades administradas, selecciona + Crear.
En la página Crear identidad administrada asignada por el usuario , seleccione una suscripción, un grupo de recursos y una región para la identidad administrada asignada por el usuario y proporcione un nombre.
Seleccione Revisar y crear para revisar y validar las entradas.
Seleccione Crear para crear la identidad administrada asignada por el usuario.
Una vez creada la identidad, seleccione Ir al recurso.
En la página Información general de la nueva identidad, copie el valor de Id. de cliente que se usará más adelante al configurar el código de la aplicación.

Use el comando Azure CLI az identity create para crear una identidad administrada:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

La salida del comando muestra el identificador de cliente de la identidad administrada creada y asignada por el usuario. El identificador de cliente se usa para configurar el código de aplicación que se basa en la identidad.

Siempre puede volver a ver las propiedades de la identidad administrada mediante el az identity show comando :

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Asigna la identidad administrada a tu aplicación

Una identidad administrada asignada por el usuario se puede asociar a uno o varios recursos Azure. Todos los recursos que usan esa identidad obtienen los permisos aplicados a través de los roles de la identidad.

Azure Portal
Azure CLI

En el portal de Azure, vaya al recurso que hospeda el código de la aplicación, como una instancia de Azure App Service o Azure Container Apps.
En la página de Información general del recurso, expanda Configuración y seleccione Identidad en el panel de navegación.
En la página Identidad, cambie a la pestaña Usuario asignado.
Seleccione + Agregar para abrir el panel Agregar identidad administrada asignada por el usuario .
En el panel Agregar identidad administrada asignada por el usuario , use la lista desplegable Suscripción para filtrar los resultados de búsqueda de sus identidades. Use el cuadro de búsqueda Identidades administradas asignadas por el usuario para buscar la identidad administrada asignada por el usuario que ha habilitado para el recurso de Azure que hospeda la aplicación.
Seleccione la identidad y elija Agregar en la parte inferior del panel para continuar.

El Azure CLI proporciona distintos comandos para asignar una identidad administrada asignada por el usuario a distintos tipos de servicios de hospedaje.

Para asignar una identidad administrada asignada por el usuario a un recurso, como una aplicación web de Azure App Service mediante el Azure CLI, necesitará el identificador de recurso de la identidad. Use el az identity show comando para recuperar el identificador de recurso:
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query id
```

Una vez que tenga el identificador de recurso, use el comando Azure CLI az <resourceType> identity assign comando para asociar la identidad administrada asignada por el usuario con distintos recursos, como los siguientes:

Para Azure App Service, use el comando Azure CLI az webapp identity assign:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <user-assigned-identity-resource-id>

Para Azure Container Apps, use el comando Azure CLI az containerapp identity assign:

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --user-assigned <user-assigned-identity-resource-id>

Para Azure Virtual Machines, use el comando Azure CLI az vm identity assign:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --identities <user-assigned-identity-resource-id>

Asignación de roles a la identidad administrada

A continuación, determine qué roles necesita la aplicación y asígnelos a la identidad administrada. Puede asignar roles a una identidad administrada en los ámbitos siguientes:

Recurso: los roles asignados solo se aplican a ese recurso específico.
grupo de recursos: los roles asignados se aplican a todos los recursos contenidos en el grupo de recursos.
Suscripción: Los roles asignados se aplican a todos los recursos contenidos en la suscripción.

En el ejemplo siguiente se muestra cómo asignar roles en el ámbito del grupo de recursos, ya que muchas aplicaciones administran todos sus recursos relacionados Azure mediante un único grupo de recursos.

Azure Portal
Azure CLI

Vaya a la página Información general del grupo de recursos que contiene la aplicación con la identidad administrada asignada por el usuario.
En el panel de navegación izquierdo, seleccione Control de acceso (IAM) .
En la página Control de acceso (IAM), seleccione + Agregar en el menú superior y, a continuación, elija Agregar asignación de rol para ir a la página Agregar asignación de rol.
La página Agregar asignación de roles presenta un flujo de trabajo con pestañas y varios pasos para asignar roles a identidades. En la pestaña de rol inicial, use el cuadro de búsqueda de la parte superior para localizar el rol que desea asignar a la identidad.
Seleccione el rol en los resultados y, a continuación, elija Siguiente para ir a la pestaña Miembros.
En la opción Asignar acceso a, seleccione Identidad administrada.
Para la opción Miembros , elija + Seleccionar miembros para abrir el panel Seleccionar identidades administradas.
En el panel Seleccionar identidades administradas, utilice las listas desplegables de Suscripción e Identidad administrada para filtrar los resultados de búsqueda de sus identidades. Use el cuadro de búsqueda Select para buscar la identidad administrada asignada por el usuario que ha habilitado para el recurso de Azure que hospeda la aplicación.
Seleccione la identidad y elija Seleccione en la parte inferior del panel para continuar.
Seleccione en la parte inferior de la página Revisar y asigne.
En la pestaña final Revisar y asignar, seleccione Revisar y asignar para completar el flujo de trabajo.

Para asignar un rol a una identidad administrada asignada al usuario mediante el Azure CLI, necesitará el ID principal de la identidad. Use el az identity show comando para recuperar el identificador principal.
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query principalId
```

Use el comando az role definition list para explorar qué roles se puede asignar a una identidad administrada:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Asigne un rol a una identidad administrada mediante el comando az role assignment create :
```
az role assignment create \
    --assignee <your-principal-id> \
    --role <role-name> \
    --scope <scope>
```
Por ejemplo, para permitir a la identidad administrada con el identificador de 99999999-9999-9999-9999-999999999999 lectura, escritura y eliminación de acceso a los contenedores de blobs de Azure Storage y datos a todas las cuentas de almacenamiento del grupo de recursos msdocs-sdk-auth-example, asigne la entidad de servicio de aplicación al rol Storage Blob Data Contributor mediante el siguiente comando:
```
az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
```

Para obtener información sobre cómo asignar permisos en el nivel de recurso o suscripción mediante el Azure CLI, consulte el artículo Assign Azure roles mediante el Azure CLI.

Autenticación a los servicios de Azure desde tu aplicación

La biblioteca de identidades de Azure proporciona varias credenciales: implementaciones de TokenCredential adaptadas para admitir diferentes escenarios y flujos de autenticación de Microsoft Entra. Dado que la identidad administrada no está disponible cuando se ejecuta localmente, los pasos siguientes muestran qué credencial usar en qué escenario:

Entorno de desarrollo local: durante el desarrollo local solamente, use una clase denominada DefaultAzureCredential para una cadena de credenciales preconfigurada y con opiniones. DefaultAzureCredential detecta las credenciales de usuario de las herramientas o IDE locales, como la CLI de Azure o Visual Studio Code. También proporciona flexibilidad y comodidad para reintentos, tiempos de espera para respuestas y compatibilidad con varias opciones de autenticación. Visite el artículo Autenticación en servicios de Azure durante el desarrollo local para más información.
Aplicaciones hospedadas en Azure: Cuando su aplicación se ejecuta en Azure, use ManagedIdentityCredential para descubrir de forma segura la identidad administrada configurada para su aplicación. Especificar este tipo exacto de credencial impide que otras credenciales disponibles se recojan inesperadamente.

Implementación del código

Agregue la azure-identity dependencia al pom.xml archivo:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Se accede a los servicios de Azure mediante clases de cliente especializadas de las distintas bibliotecas cliente del SDK de Azure. En el ejemplo de código siguiente se muestra cómo crear una instancia de credenciales y usarla con un cliente de servicio del SDK de Azure. En el código de la aplicación, complete los pasos siguientes para autenticarse mediante una identidad administrada:

Importe las DefaultAzureCredentialBuilderclases , ManagedIdentityCredentialBuildery TokenCredential .
Pase una instancia adecuada TokenCredential al cliente:
- Uso DefaultAzureCredential al ejecutar localmente
- Use ManagedIdentityCredential cuando la aplicación se ejecute en Azure y configure el identificador de cliente, el identificador de recurso o el identificador de objeto.

El identificador de cliente se usa para identificar una identidad administrada al configurar aplicaciones o servicios que necesitan autenticarse con esa identidad.

Recupere el identificador de cliente asignado a una identidad administrada asignada por el usuario mediante el siguiente comando:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query clientId \
    --output tsv

Configure ManagedIdentityCredential con el ID de cliente:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the client ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .clientId("<user-assigned-managed-identity-client-id>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

El identificador de recurso identifica de forma única el recurso de identidad administrada dentro de la suscripción de Azure mediante la siguiente estructura:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Los identificadores de recursos se pueden crear por convención, lo que hace que sean más cómodos al trabajar con un gran número de identidades administradas asignadas por el usuario en su entorno.

Recupere el identificador de recurso asignado a una identidad administrada asignada por el usuario mediante el siguiente comando:
```
az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query id \
    --output tsv
```

Configura ManagedIdentityCredential con el identificador de recurso:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the resource ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .resourceId("/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

El identificador de objeto es el identificador único del principal de servicio de la identidad gestionada en Microsoft Entra ID. Un identificador principal es otro nombre para un identificador de objeto.

Recupere el identificador de objeto asignado a una identidad administrada asignada por el usuario mediante el comando siguiente:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query principalId \
    --output tsv

Configura ManagedIdentityCredential con el ID de objeto:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the object ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .objectId("<user-assigned-managed-identity-object-id>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Pasos siguientes

En este artículo se trata la autenticación mediante una identidad administrada asignada por el usuario. Esta forma de autenticación es una de las varias maneras en que puede autenticarse en el Azure SDK para Java. En los artículos siguientes se describen otras formas de autenticarse:

Si tiene problemas relacionados con la autenticación de aplicaciones hospedadas Azure, consulte Troubleshoot Azure-hosted application authentication.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-02