Zabezpečení cloudových účtů služeb
Existují tři typy účtů služeb nativní pro Microsoft Entra ID: spravované identity, instanční objekty a uživatelské účty služeb. Účty služeb jsou speciálním typem účtu, který je určený k reprezentaci jiné než lidské entity, jako je aplikace, rozhraní API nebo jiná služba. Tyto entity pracují v kontextu zabezpečení poskytovaném účtem služby.
Typy účtů služby Microsoft Entra
Pro služby hostované v Azure doporučujeme použít spravovanou identitu, pokud je to možné, a instanční objekt, pokud ne. Spravované identity se nedají použít pro služby hostované mimo Azure. V takovém případě doporučujeme instanční objekt. Pokud můžete použít spravovanou identitu nebo instanční objekt, udělejte to. Doporučujeme, abyste jako účet služby nepoužíli uživatelský účet Microsoft Entra. Souhrn najdete v následující tabulce.
| Hostování služeb | Spravovaná identita | Instanční objekt | Uživatelský účet Azure |
|---|---|---|---|
| Služba je hostovaná v Azure. | Ano. Doporučuje se, pokud je služba podporuje spravovanou identitu. |
Ano. | Nedoporučuje se. |
| Služba není hostovaná v Azure. | No | Ano. Doporučený způsob: | Nedoporučuje se. |
| Služba je více tenantů | No | Ano. Doporučený způsob: | Ne. |
Spravované identity
Spravované identity jsou zabezpečené identity Microsoft Entra vytvořené za účelem poskytování identit pro prostředky Azure. Existují dva typy spravovaných identit:
Spravované identity přiřazené systémem je možné přiřadit přímo k instanci služby.
Spravované identity přiřazené uživatelem je možné vytvořit jako samostatný prostředek.
Další informace najdete v tématu Zabezpečení spravovaných identit. Obecné informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure?
Instanční objekty
Pokud nemůžete použít spravovanou identitu k reprezentaci vaší aplikace, použijte instanční objekt. Instanční objekty je možné používat s jedním tenantem i víceklientovými aplikacemi.
Instanční objekt je místní reprezentace objektu aplikace v jednom tenantovi Microsoft Entra. Funguje jako identita instance aplikace, definuje, kdo má přístup k aplikaci a k jakým prostředkům má aplikace přístup. Instanční objekt se vytvoří v (místním) každém tenantovi, ve kterém se aplikace používá, a odkazuje na globálně jedinečný objekt aplikace. Tenant zabezpečuje přihlášení instančního objektu a přístup k prostředkům.
Existují dva mechanismy ověřování pomocí instančních objektů – klientských certifikátů a tajných klíčů klientů. Certifikáty jsou bezpečnější: pokud je to možné, používejte klientské certifikáty. Na rozdíl od tajných klíčů klienta nemohou být klientské certifikáty omylem vloženy do kódu.
Informace o zabezpečení instančních objektů naleznete v tématu Zabezpečení instančních objektů.
Další kroky
Další informace o zabezpečení účtů služeb Azure najdete v tématech:
Zabezpečení spravovaných identit