Que sont les identités de la charge de travail ?

Une identité de charge de travail est une identité utilisée par une charge de travail logicielle (telle qu’une application, un service, un script ou un conteneur) pour authentifier et accéder à d’autres services et ressources. La terminologie est incohérente dans l’ensemble du secteur, mais en général, une identité de charge de travail est une opération dont vous avez besoin pour que votre entité logicielle s’authentifie auprès d’un système. Par exemple, une identité de charge de travail peut être un compte d’utilisateur que votre client authentifie comme pour accéder à une base de données MongoDB. Une identité de charge de travail peut également être un rôle de service AWS attaché à une instance EC2 avec un accès en lecture seule à un compartiment Amazon S3.

Dns Azure Active Directory (Azure AD), les identités de charge de travail sont des applications, des principaux de service et des identités gérées.

Une application est une entité abstraite, ou modèle, définie par son objet application. L'objet application est la représentation globale de votre application à utiliser sur tous les locataires. L’objet application décrit comment les jetons sont émis, les ressources auxquelles l’application doit accéder, ainsi que les actions que l’application peut effectuer.

Un principal de service est la représentation locale, ou instance d’application, d’un objet application global dans un locataire spécifique Un objet application est utilisé comme modèle pour créer un objet principal de service dans chaque locataire où l’application est utilisée. L’objet principal de service définit ce que l’application peut réellement faire dans un ataire spécifique, qui peut accéder à l’application, ainsi que les ressources auxquelles l’application peut accéder.

Une identité gérée st un type spécial de principal de service qui élimine la nécessité pour les développeurs de gérer les informations d’identification.

Vici quelques façons d’utiliser des identités de charge de travail dans Azure AD :

  • Aplication qui permet à une application web d’accéder à Microsoft Graph en fonction du consentement de l’administrateur ou de l’utilisateur. Cet accès peut être soit au nom de l’utilisateur, soit pour le compte de l’application.
  • Ientité managée utilisée par un développeur pour approvisionner son service avec un accès à une ressource Azure comme Azure Key Vault ou stockage Azure.
  • Pincipal de service utilisé par un développeur pour permettre à un pipeline CI/CD de déployer une application web à partir de GitHub vers Azure App Service.

Identités de charge de travail, autres identités de machine et identités humaines

À un niveau élevé, il existe deux types d’identités : les identités homme et machine/non-humaines. Les identités de charge de travail et les identités d’appareil constituent un groupe appelé identités machine (ou non-humaines). Les identités de charge de travail représentent des charges de travail logicielles tandis que les identités des appareils représentent des appareils tels que des ordinateurs de bureau, des appareils mobiles, IoT et IoT. Les identités de machine sont distinctes des identités humaines, qui représentent des personnes telles que des employés (travailleurs internes et travailleurs frontaux) et des utilisateurs externes (clients, consultants, fournisseurs et partenaires).

Shows different types of machine and human identities

Scénarios pris en charge

Voici quelques méthodes permettant d’utiliser des identités de charge de travail :

Étapes suivantes

Découvrez comment sécuriser l'accès des identités de charge de travail avec des politiques adaptatives.