Co jsou identity úloh?

Identita úlohy je identita, kterou přiřadíte softwarové úloze (jako je aplikace, služba, skript nebo kontejner) pro ověření a přístup k jiným službám a prostředkům. Terminologie je v celém odvětví nekonzistentní, ale obecně identita úloh je něco, co potřebujete, aby se vaše softwarová entita ověřila v určitém systému. Aby například GitHub Actions mohl přistupovat k předplatným Azure, potřebuje akce identitu úlohy, která má k těmto předplatným přístup. Identita úlohy může být také role služby AWS připojená k instanci EC2 s přístupem jen pro čtení k kbelíku Amazon S3.

V Microsoft Entra jsou identity úloh aplikace, instanční objekty a spravované identity.

Aplikace je abstraktní entita nebo šablona definovaná objektem aplikace. Objekt aplikace je globální reprezentace vaší aplikace pro použití ve všech tenantech. Objekt aplikace popisuje způsob vystavování tokenů, prostředky, ke kterým aplikace potřebuje přístup, a akce, které může aplikace provést.

Instanční objekt je místní reprezentace nebo instance aplikace globálního objektu aplikace v konkrétním tenantovi. Objekt aplikace se používá jako šablona k vytvoření instančního objektu v každém tenantovi, ve kterém se aplikace používá. Instanční objekt definuje, co může aplikace ve skutečnosti dělat v konkrétním tenantovi, kdo má přístup k aplikaci a k jakým prostředkům má aplikace přístup.

Spravovaná identita je speciální typ instančního objektu, který eliminuje potřebu vývojářů spravovat přihlašovací údaje.

Tady je několik způsobů, jak se používají identity úloh v MICROSOFT Entra ID:

• Aplikace, která umožňuje webové aplikaci přistupovat k Microsoft Graphu na základě souhlasu správce nebo uživatele. Tento přístup může být buď jménem uživatele, nebo jménem aplikace.
• Spravovaná identita, kterou vývojář používá ke zřízení služby s přístupem k prostředku Azure, jako je Azure Key Vault nebo Azure Storage.
• Instanční objekt používaný vývojářem k povolení kanálu CI/CD k nasazení webové aplikace z GitHubu do služby Aplikace Azure Service.

Identity úloh, jiné identity počítačů a lidské identity

Na vysoké úrovni existují dva typy identit: lidské a strojové nebo nelidé identity. Identity úloh a identity zařízení společně tvoří skupinu označovanou jako machine (nebo non-human) identity. Identity úloh představují softwarové úlohy, zatímco identity zařízení představují zařízení, jako jsou stolní počítače, mobilní, senzory IoT a spravovaná zařízení IoT. Strojové identity se liší od lidských identit, které představují lidi, jako jsou zaměstnanci (interní pracovníci a pracovníci front-line) a externí uživatelé (zákazníci, konzultanti, dodavatelé a partneři).

Potřeba zabezpečení identit úloh

Další a další řešení jsou závislá na nelidských entitách, aby dokončily důležité úkoly a počet nelidských identit se výrazně zvyšuje. Nedávné kybernetické útoky ukazují, že nežádoucí osoba stále více cílí na nelidsky nad lidské identity.

Lidé mají obvykle jednu identitu, která se používá pro přístup k široké škále prostředků. Na rozdíl od lidského uživatele může úloha softwaru zpracovávat více přihlašovacích údajů pro přístup k různým prostředkům a tyto přihlašovací údaje je potřeba bezpečně uložit. Je také obtížné sledovat, kdy je identita úlohy vytvořená nebo kdy by měla být odvolána. Podniky riskují zneužití nebo porušení zabezpečení aplikací nebo služeb kvůli potížím se zabezpečením identit úloh.

Většina řešení správy identit a přístupu na trhu se dnes zaměřuje pouze na zabezpečení lidských identit a ne identit úloh. ID úloh Microsoft Entra pomáhá tyto problémy vyřešit při zabezpečení identit úloh.

Klíčové scénáře

Tady je několik způsobů, jak můžete používat identity úloh.

Zabezpečený přístup pomocí adaptivních zásad:

• Použijte zásady podmíněného přístupu na instanční objekty vlastněné vaší organizací pomocí podmíněného přístupu pro identity úloh.
• Povolte vynucení umístění podmíněného přístupu a zásad rizik v reálném čase pomocí průběžného vyhodnocování přístupu pro identity úloh.
• Správa vlastních atributů zabezpečení pro aplikaci

Inteligentní detekce ohrožených identit:

• Detekce rizik (jako jsou úniky přihlašovacích údajů), obsahují hrozby a snižují riziko identit úloh pomocí služby Microsoft Entra ID Protection.

Zjednodušení správy životního cyklu:

• Získejte přístup k prostředkům chráněným Microsoft Entra, aniž byste museli spravovat tajné kódy pro úlohy spuštěné v Azure pomocí spravovaných identit.
• Přístup k prostředkům chráněným microsoft entra bez nutnosti spravovat tajné kódy pomocí federace identit úloh pro podporované scénáře, jako jsou GitHub Actions, úlohy spuštěné v Kubernetes nebo úlohy běžící na výpočetních platformách mimo Azure.
• Zkontrolujte instanční objekty a aplikace přiřazené k privilegovaným rolím adresáře v MICROSOFT Entra ID pomocí kontrol přístupu pro instanční objekty.

Další kroky

• Získejte odpovědi na nejčastější dotazy týkající se identit úloh.