Udostępnij za pośrednictwem


Zabezpieczanie kont usług opartych na chmurze

Istnieją trzy typy kont usług natywnych dla identyfikatora Entra firmy Microsoft: tożsamości zarządzane, jednostki usługi i konta usług oparte na użytkownikach. Konta usług to specjalny typ konta przeznaczonego do reprezentowania jednostki nieludzkiej, takiej jak aplikacja, interfejs API lub inna usługa. Te jednostki działają w kontekście zabezpieczeń udostępnianym przez konto usługi.

Typy kont usługi Microsoft Entra

W przypadku usług hostowanych na platformie Azure zalecamy używanie tożsamości zarządzanej, jeśli to możliwe, i jednostki usługi, jeśli nie. Tożsamości zarządzane nie mogą być używane dla usług hostowanych poza platformą Azure. W takim przypadku zalecamy jednostkę usługi. Jeśli możesz użyć tożsamości zarządzanej lub jednostki usługi, zrób to. Zalecamy, aby nie używać konta użytkownika Microsoft Entra jako konta usługi. Zobacz poniższą tabelę, aby zapoznać się z podsumowaniem.

Hosting usług Tożsamość zarządzana Jednostka usługi Konto użytkownika platformy Azure
Usługa jest hostowana na platformie Azure. Tak.
Zalecane, jeśli usługa
obsługuje tożsamość zarządzaną.
Tak. Niezalecane.
Usługa nie jest hostowana na platformie Azure. Nie. Tak. Zalecane. Niezalecane.
Usługa jest wielodostępna Nie. Tak. Zalecane. L.p.

Tożsamości zarządzane

Tożsamości zarządzane to bezpieczne tożsamości usługi Microsoft Entra utworzone w celu zapewnienia tożsamości dla zasobów platformy Azure. Istnieją dwa typy tożsamości zarządzanych:

  • Tożsamości zarządzane przypisane przez system można przypisać bezpośrednio do wystąpienia usługi.

  • Tożsamości zarządzane przypisane przez użytkownika można utworzyć jako zasób autonomiczny.

Aby uzyskać więcej informacji, zobacz Zabezpieczanie tożsamości zarządzanych. Aby uzyskać ogólne informacje o tożsamościach zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?

Jednostki usługi

Jeśli nie możesz użyć tożsamości zarządzanej do reprezentowania aplikacji, użyj jednostki usługi. Jednostki usług mogą być używane zarówno z aplikacjami z jedną dzierżawą, jak i aplikacjami wielodostępnymi.

Jednostka usługi jest lokalną reprezentacją obiektu aplikacji w jednej dzierżawie firmy Microsoft Entra. Pełni ona funkcję tożsamości wystąpienia aplikacji, definiuje, kto może uzyskiwać dostęp do aplikacji i do jakich zasobów może uzyskiwać dostęp do aplikacji. Jednostka usługi jest tworzona w (lokalnie do) każdej dzierżawy, w której jest używana aplikacja i odwołuje się do globalnie unikatowego obiektu aplikacji. Dzierżawa zabezpiecza logowanie jednostki usługi i dostęp do zasobów.

Istnieją dwa mechanizmy uwierzytelniania przy użyciu jednostek usługi — certyfikaty klienta i wpisy tajne klienta. Certyfikaty są bezpieczniejsze: w miarę możliwości używaj certyfikatów klienta. W przeciwieństwie do wpisów tajnych klienta certyfikaty klienta nie mogą być przypadkowo osadzone w kodzie.

Aby uzyskać informacje na temat zabezpieczania jednostek usługi, zobacz Zabezpieczanie jednostek usługi.

Następne kroki

Aby uzyskać więcej informacji na temat zabezpieczania kont usług platformy Azure, zobacz:

Zabezpieczanie tożsamości zarządzanych

Zabezpieczanie jednostek usługi

Zarządzanie kontami usług platformy Azure