Zadání přihlašovacích údajů k identitě aplikace, když neexistuje žádný uživatel
Když jako vývojář vytváříte netuživatelské aplikace, nemáte uživatele, kterého můžete vyzvat k zadání uživatelského jména a hesla nebo vícefaktorového ověřování (MFA). Potřebujete zadat identitu aplikace samostatně. Tento článek vysvětluje, proč nejlepší nulová důvěra (Zero Trust) postupy přihlašovacích údajů klienta pro služby (aplikace bez uživatelů) v Azure jsou spravované identity pro prostředky Azure.
Problémy s účty služeb
Použití "účtu služby" (vytvoření uživatelského účtu a jeho použití pro službu) není dobrým řešením. Id Microsoft Entra nemá koncept účtu služby. Když správci vytvářejí uživatelské účty pro službu a pak sdílejí hesla s vývojáři, je nezabezpečená. Nemůže to být bez hesla ani mfaktorové ověřování. Místo použití uživatelského účtu jako účtu služby je nejlepším řešením použít jednu z následujících možností přihlašovacích údajů klienta.
Možnosti přihlašovacích údajů klienta
Existují čtyři typy přihlašovacích údajů klienta, které můžou aplikaci identifikovat.
- Tajný klíč
- Certifikát
- Spravované identity pro prostředky Azure
- Federované přihlašovací údaje
Tajný klíč nebo certifikát?
Tajné klíče jsou přijatelné, pokud máte v podniku sofistikovanou infrastrukturu správy tajných kódů (například Azure Key Vault). Tajné klíče ale ve scénářích, kdy IT specialista vygeneruje tajný klíč a pak ho pošle vývojáři, který ho pak může uložit do nezabezpečeného umístění, jako je tabulka, způsobí, že tajné klíče nebudou správně chráněné.
Přihlašovací údaje klienta založené na certifikátech jsou bezpečnější než tajné klíče. Certifikáty jsou lépe spravované, protože nejsou samotným tajným kódem. Tajný kód není součástí přenosu. Když použijete tajný klíč, klient odešle skutečnou hodnotu tajného klíče do Microsoft Entra ID. Když použijete certifikát, privátní klíč certifikátu nikdy neopustí zařízení. I když někdo zachytí, dešifruje a dešifruje přenos, tajný kód je stále zabezpečený, protože strana zachycení nemá privátní klíč.
Osvědčený postup: Použití spravovaných identit pro prostředky Azure
Při vývoji služeb (neuživatelových aplikací) v Azure poskytují spravované identity pro prostředky Azure automaticky spravovanou identitu v Microsoft Entra ID. Aplikace se může ověřit v jakékoli službě, která podporuje ověřování Microsoft Entra bez správy přihlašovacích údajů. Nemusíte spravovat tajné kódy; Nemusíte řešit možnost jejich ztráty nebo nesprávného zacházení. Tajné kódy se nedají zachytit, protože se nepřesouvají přes síť. Spravované identity pro prostředky Azure jsou osvědčeným postupem, pokud vytváříte služby v Azure.
Další kroky
- Podporované typy identit a účtů pro jednoklientové aplikace vysvětlují, jak můžete zvolit, jestli vaše aplikace povoluje jenom uživatele z vašeho tenanta Microsoft Entra, libovolného tenanta Microsoft Entra nebo uživatele s osobními účty Microsoft.
- Strategie vytváření oprávnění aplikací vám pomůže rozhodnout se o přístupu k oprávněním aplikace ke správě přihlašovacích údajů.
- Zadání přihlašovacích údajů identity aplikace, když žádný uživatel nevysvětlí, proč spravované identity pro prostředky Azure představují nejlepší postup přihlašovacích údajů klienta pro služby (aplikace bez uživatelů) v Azure.
- Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.
- K vytváření zabezpečených aplikací použijte osvědčené postupy pro vývoj identit a přístupu nulová důvěra (Zero Trust) v životním cyklu vývoje aplikací.
- Vytváření aplikací s přístupem k identitě nulová důvěra (Zero Trust) poskytuje přehled o oprávněních a osvědčených postupech přístupu.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro