Skydda molnbaserade tjänstkonton
Det finns tre typer av tjänstkonton som är inbyggda i Microsoft Entra-ID: Hanterade identiteter, tjänstens huvudnamn och användarbaserade tjänstkonton. Tjänstkonton är en särskild typ av konto som är avsedd att representera en icke-mänsklig entitet, till exempel ett program, API eller en annan tjänst. Dessa entiteter fungerar inom säkerhetskontexten som tillhandahålls av tjänstkontot.
Typer av Microsoft Entra-tjänstkonton
För tjänster som finns i Azure rekommenderar vi att du använder en hanterad identitet om möjligt och ett huvudnamn för tjänsten om inte. Hanterade identiteter kan inte användas för tjänster som finns utanför Azure. I så fall rekommenderar vi ett huvudnamn för tjänsten. Om du kan använda en hanterad identitet eller ett huvudnamn för tjänsten gör du det. Vi rekommenderar att du inte använder ett Microsoft Entra-användarkonto som ett tjänstkonto. En sammanfattning finns i följande tabell.
Tjänstvärd | Hanterad identitet | Tjänstens huvudnamn | Azure-användarkonto |
---|---|---|---|
Tjänsten finns i Azure. | Ja. Rekommenderas om tjänsten stöder en hanterad identitet. |
Ja. | Rekommenderas inte. |
Tjänsten finns inte i Azure. | Nej | Ja. Rekommenderas. | Rekommenderas inte. |
Tjänsten är flera klientorganisationer | Nej | Ja. Rekommenderas. | Nej. |
Hanterade identiteter
Hanterade identiteter är säkra Microsoft Entra-identiteter som skapats för att tillhandahålla identiteter för Azure-resurser. Det finns två typer av hanterade identiteter:
Systemtilldelade hanterade identiteter kan tilldelas direkt till en instans av en tjänst.
Användartilldelade hanterade identiteter kan skapas som en fristående resurs.
Mer information finns i Skydda hanterade identiteter. Allmän information om hanterade identiteter finns i Vad är hanterade identiteter för Azure-resurser?
Tjänstens huvudnamn
Om du inte kan använda en hanterad identitet för att representera ditt program använder du ett huvudnamn för tjänsten. Tjänstens huvudnamn kan användas med både en klientorganisation och program med flera klientorganisationer.
Ett huvudnamn för tjänsten är den lokala representationen av ett programobjekt i en enda Microsoft Entra-klientorganisation. Den fungerar som identitet för programinstansen, definierar vem som kan komma åt programmet och vilka resurser programmet kan komma åt. Ett huvudnamn för tjänsten skapas i (lokalt till) varje klient där programmet används och refererar till det globalt unika programobjektet. Klientorganisationen skyddar tjänstens huvudnamns inloggning och åtkomst till resurser.
Det finns två mekanismer för autentisering med hjälp av tjänstens huvudnamn – klientcertifikat och klienthemligheter. Certifikat är säkrare: använd klientcertifikat om möjligt. Till skillnad från klienthemligheter kan klientcertifikat inte av misstag bäddas in i kod.
Information om hur du skyddar tjänstens huvudnamn finns i Skydda tjänstens huvudnamn.
Nästa steg
Mer information om hur du skyddar Azure-tjänstkonton finns i: