Usare identità gestite per Test di carico di Azure

2025-08-15

Questo articolo illustra come creare un'identità gestita per Test di carico di Azure. È possibile usare un'identità gestita per leggere in modo sicuro segreti o certificati da Azure Key Vault nel test di carico. È anche possibile usare le identità gestite per simulare flussi di autenticazione basati sull'identità gestita negli script di test di carico.

Un'identità gestita da Microsoft Entra ID consente alla risorsa test di carico di accedere facilmente ad Azure Key Vault protetto da Microsoft Entra. L'identità viene gestita dalla piattaforma Azure e non richiede la gestione o la rotazione di segreti. Per altre informazioni sulle identità gestite in Microsoft Entra ID, vedere Identità gestite per le risorse di Azure.

Test di carico di Azure supporta due tipi di identità:

Un'identità assegnata dal sistema è associata alla risorsa test di carico e viene eliminata quando la risorsa viene eliminata. Una risorsa può avere una sola identità assegnata dal sistema.
Un'identità assegnata dall'utente è una risorsa di Azure autonoma che è possibile assegnare alla risorsa test di carico. Quando si elimina la risorsa test di carico, l'identità gestita rimane disponibile. È possibile assegnare più identità assegnate dall'utente alla risorsa test di carico.

Attualmente è possibile usare solo l'identità gestita per l'accesso ad Azure Key Vault.

Prerequisiti

Un account Azure con una sottoscrizione attiva. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Risorsa del test di carico di Azure. Se è necessario creare una risorsa test di carico di Azure, vedere l'avvio rapido Creare ed eseguire un test di carico.
Per creare un'identità gestita assegnata dall'utente, all'account deve essere assegnato il ruolo Collaboratore di identità gestite.

Assegnare un'identità assegnata dal sistema a una risorsa test di carico

Per assegnare un'identità assegnata dal sistema per la risorsa test di carico di Azure, abilitare una proprietà nella risorsa. È possibile impostare questa proprietà usando il portale di Azure o un modello di Azure Resource Manager (ARM).

Per configurare un'identità gestita nel portale, creare prima una risorsa test di carico di Azure e quindi abilitare la funzionalità.

Nel portale di Azure, passare alla risorsa Test di carico di Azure.
Nel riquadro sinistro, selezionare Identità.
Nella scheda Assegnata dal sistema, impostare Stato su Attivo e quindi selezionare Salva.
Nella finestra di conferma, selezionare Sì per confermare l'assegnazione dell'identità gestita.
Al termine di questa operazione, la pagina mostra l'ID oggetto dell'identità gestita e consente di assegnarvi le autorizzazioni.

Eseguire il comando az load update con --identity-type SystemAssigned per aggiungere un'identità assegnata dal sistema alla risorsa test di carico:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

È possibile usare un modello di ARM per automatizzare la distribuzione delle risorse di Azure. Per altre informazioni sull'uso dei modelli di ARM con Test di carico di Azure, vedere la Documentazione di riferimento di Test di carico di Azure ARM.

È possibile assegnare un'identità gestita assegnata dal sistema quando si crea una risorsa di tipo Microsoft.LoadTestService/loadtests. Configurare la proprietà identity con il valore SystemAssigned nella definizione della risorsa:

"identity": {
    "type": "SystemAssigned"
}

Aggiungendo il tipo di identità assegnato dal sistema, si indica ad Azure di creare e gestire l'identità per la risorsa. Ad esempio, una risorsa test di carico di Azure potrebbe essere simile alla seguente:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "___location": "[parameters('___location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Una volta creata la risorsa, per la risorsa sono configurate le proprietà seguenti:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

La proprietà tenantId identifica il tenant Microsoft Entra a cui appartiene l'identità gestita. principalId è un identificatore univoco per la nuova identità della risorsa. All'interno di Microsoft Entra ID, l'entità servizio ha lo stesso nome della risorsa test di carico di Azure.

Assegnare un'identità assegnata dall'utente a una risorsa test di carico

Per aggiungere un'identità gestita assegnata dall'utente a una risorsa test di carico di Azure, è necessario prima creare questa identità in Microsoft Entra ID. È quindi possibile assegnare l'identità usando il relativo identificatore di risorsa.

Alla risorsa è possibile aggiungere più identità gestite assegnate dall'utente. Ad esempio, se è necessario accedere a più risorse di Azure, è possibile concedere autorizzazioni diverse a ognuna di queste identità.

Creare un'identità gestita assegnata dall'utente seguendo le istruzioni indicate in Creare un'identità gestita assegnata dall'utente.
Nel portale di Azure, passare alla risorsa Test di carico di Azure.
Nel riquadro sinistro, selezionare Identità.
Selezionare la scheda Assegnata dall'utente, quindi selezionare Aggiungi.
Cercare e selezionare l'identità gestita creata in precedenza. Selezionare quindi Aggiungi per aggiungerla alla risorsa test di carico di Azure.

Creare un'identità assegnata dall'utente.

az identity create --resource-group <group-name> --name <identity-name>

Eseguire il comando az load update con --identity-type UserAssigned per aggiungere un'identità assegnata dall'utente alla risorsa test di carico:
```
az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
```

È possibile creare una risorsa test di carico di Azure usando un modello di ARM e il tipo di risorsa Microsoft.LoadTestService/loadtests. Per altre informazioni sull'uso dei modelli di ARM con Test di carico di Azure, vedere la Documentazione di riferimento di Test di carico di Azure ARM.

Creare un'identità gestita assegnata dall'utente seguendo le istruzioni indicate in Creare un'identità gestita assegnata dall'utente.
Specificare l'identità gestita assegnata dall'utente nella sezione identity della definizione della risorsa.

Sostituire il segnaposto di testo <RESOURCEID> con l'ID risorsa dell'identità assegnata dall'utente:
```
"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {}
    }
}
```
Il frammento di codice seguente mostra un esempio di definizione di risorsa di Test di carico di Azure ARM con un'identità assegnata dall'utente:
```
{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "___location": "[parameters('___location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "<RESOURCEID>": {}
        }
}
```
Dopo aver creato la risorsa test di carico, Azure fornisce le proprietà principalId e clientId nell'output:
```
"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {
            "principalId": "00000000-0000-0000-0000-000000000000",
            "clientId": "00000000-0000-0000-0000-000000000000"
        }
    }
}
```
principalId è un identificatore univoco per l'identità usata per l'amministrazione di Microsoft Entra. clientId è un identificatore univoco per la nuova identità della risorsa usata per specificare l'identità da usare durante le chiamate di runtime.

Configurare la risorsa di destinazione

Potrebbe essere necessario configurare la risorsa di destinazione per consentire l'accesso dalla risorsa test di carico. Ad esempio, se si legge un segreto o un certificato da Azure Key Vault o si usano chiavi gestite dal cliente per la crittografia, è necessario aggiungere anche un criterio di accesso che includa l'identità gestita della risorsa. In caso contrario, le chiamate ad Azure Key Vault vengono rifiutate, anche se si usa un token valido.

Analogamente, se si vogliono impostare criteri di errore per sulle metriche del server, è necessario specificare un'identità di riferimento metriche per cui recuperare le metriche. È necessario configurare la risorsa di destinazione in modo che l'identità possa leggere le metriche dalla risorsa.

Importante

Quando un'identità gestita viene assegnata a una risorsa test di carico, gli utenti autorizzati a eseguire test di carico possono usare l'identità gestita durante l'esecuzione del test per accedere alle risorse di destinazione come Azure Key Vault.

Commenti e suggerimenti

Questa pagina è stata utile?