Sdílet prostřednictvím


Zadání přihlašovacích údajů k identitě aplikace, když neexistuje žádný uživatel

Když jako vývojář vytváříte netuživatelské aplikace, nemáte uživatele, kterého můžete vyzvat k zadání uživatelského jména a hesla nebo vícefaktorového ověřování (MFA). Potřebujete zadat identitu aplikace samostatně. Tento článek vysvětluje, proč nejlepší nulová důvěra (Zero Trust) postupy přihlašovacích údajů klienta pro služby (aplikace bez uživatelů) v Azure jsou spravované identity pro prostředky Azure.

Problémy s účty služeb

Použití "účtu služby" (vytvoření uživatelského účtu a jeho použití pro službu) není dobrým řešením. Id Microsoft Entra nemá koncept účtu služby. Když správci vytvářejí uživatelské účty pro službu a pak sdílejí hesla s vývojáři, je nezabezpečená. Nemůže to být bez hesla ani mfaktorové ověřování. Místo použití uživatelského účtu jako účtu služby je nejlepším řešením použít jednu z následujících možností přihlašovacích údajů klienta.

Možnosti přihlašovacích údajů klienta

Existují čtyři typy přihlašovacích údajů klienta, které můžou aplikaci identifikovat.

Tajný klíč nebo certifikát?

Tajné klíče jsou přijatelné, pokud máte v podniku sofistikovanou infrastrukturu správy tajných kódů (například Azure Key Vault). Tajné klíče ale ve scénářích, kdy IT specialista vygeneruje tajný klíč a pak ho pošle vývojáři, který ho pak může uložit do nezabezpečeného umístění, jako je tabulka, způsobí, že tajné klíče nebudou správně chráněné.

Přihlašovací údaje klienta založené na certifikátech jsou bezpečnější než tajné klíče. Certifikáty jsou lépe spravované, protože nejsou samotným tajným kódem. Tajný kód není součástí přenosu. Když použijete tajný klíč, klient odešle skutečnou hodnotu tajného klíče do Microsoft Entra ID. Když použijete certifikát, privátní klíč certifikátu nikdy neopustí zařízení. I když někdo zachytí, dešifruje a dešifruje přenos, tajný kód je stále zabezpečený, protože strana zachycení nemá privátní klíč.

Osvědčený postup: Použití spravovaných identit pro prostředky Azure

Při vývoji služeb (neuživatelových aplikací) v Azure poskytují spravované identity pro prostředky Azure automaticky spravovanou identitu v Microsoft Entra ID. Aplikace se může ověřit v jakékoli službě, která podporuje ověřování Microsoft Entra bez správy přihlašovacích údajů. Nemusíte spravovat tajné kódy; Nemusíte řešit možnost jejich ztráty nebo nesprávného zacházení. Tajné kódy se nedají zachytit, protože se nepřesouvají přes síť. Spravované identity pro prostředky Azure jsou osvědčeným postupem, pokud vytváříte služby v Azure.

Další kroky