Compartir a través de


Protección de cuentas de servicio en la nube

Existen tres tipos de cuentas de servicio nativas de Microsoft Entra ID: Identidades administradas, principales de servicio y cuentas de servicio basadas en usuarios. Las cuentas de servicio son un tipo especial de cuenta que está pensado para representar una entidad no humana, como una aplicación, una API u otro servicio. Estas entidades operan en el contexto de seguridad que proporciona la cuenta de servicio.

Tipos de cuentas de servicio de Microsoft Entra

En el caso de los servicios hospedados en Azure, se recomienda usar una identidad administrada, si es posible, y una entidad de servicio en caso contrario. Las identidades administradas no se pueden usar para los servicios hospedados fuera de Azure. En ese caso, se recomienda una entidad de servicio. Si puede usar una identidad administrada o una entidad de servicio, hágalo. Le recomendamos que no utilice una cuenta de usuario de Microsoft Entra como cuenta de servicio. Consulte la tabla siguiente como resumen.

Hospedaje de servicio Identidad administrada Entidad de servicio Cuenta de usuario de Azure
El servicio se hospeda en Azure. Sí.
Recomendado si el servicio
admite una identidad administrada.
Sí. No se recomienda.
El servicio no está hospedado en Azure. No Sí. Se recomienda su uso. No se recomienda.
El servicio es multiinquilino. No Sí. Se recomienda su uso. No.

Identidades administradas

Las identidades administradas son identidades seguras de Microsoft Entra creadas para proporcionar identidades para los recursos de Azure. Hay dos tipos de identidades administradas:

  • Las identidades administradas asignadas por el sistema se pueden asignar directamente a una instancia de un servicio.

  • Las identidades administradas asignadas por el usuario se pueden crear como un recurso independiente.

Para más información, consulte Protección de identidades administradas. Para obtener más información sobre las identidades administradas, consulte ¿Qué son las identidades administradas para recursos de Azure?

Entidades de servicio

Si no puede usar una identidad administrada para representar la aplicación, use una entidad de servicio. Las entidades de servicio se pueden usar con aplicaciones de un solo inquilino y de varios inquilinos.

Un principal de servicio es la representación local de un objeto de aplicación en un único inquilino de Microsoft Entra. Funciona como la identidad de la instancia de la aplicación, define quién puede tener acceso a la aplicación y a qué recursos puede tener acceso la aplicación. La entidad de servicio se crea de forma local en cada inquilino donde se usa la aplicación y hace referencia al objeto de aplicación único globalmente. El inquilino protege el inicio de sesión y el acceso a los recursos de la entidad de servicio.

Existen dos mecanismos para la autenticación con entidades de servicio: certificados de cliente y secretos de cliente. Los certificados son más seguros: use certificados de cliente si es posible. A diferencia de los secretos de cliente, los certificados de cliente no se pueden insertar accidentalmente en el código.

Para obtener información sobre cómo proteger las entidades de servicio, consulte Protección de entidades de servicio.

Pasos siguientes

Para obtener más información sobre la protección de las cuentas de servicio de Azure, consulte:

Protección de identidades administradas

Protección de entidades de servicio

Gobernanza de las cuentas de servicio de Azure