Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když jako vývojář vytváříte neuživatelské aplikace, nemáte uživatele, kterého můžete vyzvat k zadání uživatelského jména a hesla nebo vícefaktorového ověřování (MFA). Potřebujete zadat identitu aplikace samostatně. Tento článek vysvětluje, proč nejlepším postupem přihlašovacích údajů klienta nulové důvěryhodnosti pro služby (neuživatelské aplikace) v Azure jsou spravované identity pro prostředky Azure.
Problémy s účty služeb
Použití účtu služby (použití uživatelského účtu pro službu) není dobrým řešením. Id Microsoft Entra nemá koncept účtu služby. Když správci vytvářejí uživatelské účty pro služby a pak sdílejí hesla s vývojáři, je nezabezpečená. Nemůže to být bez hesla nebo vícefaktorové ověřování. Místo použití uživatelského účtu jako účtu služby je nejlepším řešením použít jednu z následujících možností přihlašovacích údajů klienta.
Možnosti přihlašovacích údajů klienta
Existují čtyři typy přihlašovacích údajů klienta, které můžou aplikaci identifikovat.
- Tajný klíč
- Certifikát
- Spravované identity pro prostředky Azure
- Federované přihlašovací údaje
Tajný klíč nebo certifikát?
Tajné klíče jsou přijatelné v sofistikovaných infrastrukturách správy tajných kódů (jako je Azure Key Vault). Tajné klíče ale nemůžete správně chránit ve scénářích, kdy IT specialista vygeneruje tajný klíč a pak ho pošle vývojáři e-mailem.
Přihlašovací údaje klienta založené na certifikátech jsou bezpečnější než tajné klíče. Certifikáty můžete lépe spravovat, protože nejsou samotným tajným kódem. Tajný kód není součástí přenosu. Když použijete tajný klíč, klient odešle skutečnou hodnotu tajného klíče do Microsoft Entra ID. Když použijete certifikát, privátní klíč certifikátu nikdy neopustí zařízení. I když někdo zachytí, dekóduje a dešifruje přenos, tajemství je stále zabezpečené, protože strana, která zachytí komunikaci, nemá privátní klíč.
Osvědčený postup: Použití spravovaných identit pro prostředky Azure
Při vývoji služeb (neuživatelových aplikací) v Azure poskytují spravované identity pro prostředky Azure automaticky spravovanou identitu v Microsoft Entra ID. Aplikace se může ověřit v jakékoli službě, která podporuje ověřování Microsoft Entra bez správy přihlašovacích údajů. Nemusíte spravovat tajné kódy. Nemusíte řešit možnost, že byste je ztratili nebo špatně ošetřeli. Špatní aktéři nemůžou zachycovat tajné kódy, které se nepřesunou přes síť. Spravované identity pro prostředky Azure jsou osvědčeným postupem při vytváření služeb v Azure.
Další kroky
- Podporované typy identit a účtů pro jednoklientové aplikace vysvětlují, jak můžete zvolit, jestli vaše aplikace povoluje jenom uživatele z vašeho tenanta Microsoft Entra, libovolného tenanta Microsoft Entra nebo uživatele s osobními účty Microsoft.
- Strategie vytváření oprávnění aplikací vám pomůže rozhodnout se o přístupu k oprávněním aplikace ke správě přihlašovacích údajů.
- Poskytnutí přihlašovacích údajů identity aplikace, když není přítomen uživatel vysvětluje, proč spravované identity Azure jsou nejlepším postupem pro ověřování klienta pro služby na platformě Azure (aplikace bez uživatele).
- Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.
- K vytváření zabezpečených aplikací použijte osvědčené postupy pro vývoj řízení identit a přístupu Zero Trust v životním cyklu vývoje aplikací.
- Vytváření aplikací s přístupem Zero Trust k identitě poskytuje přehled o oprávněních a osvědčených postupech přístupu.