Alkalmazás-identitás hitelesítő adatainak megadása, ha nincs felhasználó

Ha fejlesztőként nem felhasználói alkalmazásokat hoz létre, nem rendelkezik olyan felhasználóval, akitől felhasználónevet és jelszót vagy többtényezős hitelesítést (MFA) kérhet. Az alkalmazás identitását önállóan kell megadnia. Ez a cikk azt ismerteti, hogy az Azure-beli szolgáltatások (nem felhasználói alkalmazások) esetében a legjobb Teljes felügyelet ügyfél-hitelesítő adatok miért az Azure-erőforrások felügyelt identitásai.

Szolgáltatásfiókokkal kapcsolatos problémák

A "szolgáltatásfiók" használata (felhasználói fiók létrehozása és szolgáltatáshoz való használata) nem jó megoldás. A Microsoft Entra ID nem rendelkezik szolgáltatásfiók-koncepcióval. Amikor a rendszergazdák felhasználói fiókokat hoznak létre egy szolgáltatáshoz, majd jelszavakat osztanak meg a fejlesztőkkel, az nem biztonságos. Nem lehet jelszó nélküli vagy MFA-juk. A felhasználói fiók szolgáltatásfiókként való használata helyett a legjobb megoldás az alábbiakban ismertetett ügyfél-hitelesítő adatok egyikének használata.

Ügyfél hitelesítő adatainak beállításai

Az ügyfél hitelesítő adatainak négy típusa azonosíthat egy alkalmazást.

• Titkos kulcs
• Tanúsítvány
• Felügyelt identitások Azure-erőforrásokhoz
• Összevont hitelesítő adatok

Titkos kulcs vagy tanúsítvány?

A titkos kulcsok akkor elfogadhatók, ha kifinomult titkos kulcskezelési infrastruktúrával (például Azure Key Vault) rendelkezik a vállalatnál. A titkos kulcsok azonban olyan helyzetekben, amikor az IT Pro létrehoz egy titkos kulcsot, majd e-maileket küld egy fejlesztőnek, aki ezután nem biztonságos helyen, például egy számolótáblában tárolja, a titkos kulcsok nem lesznek megfelelően védve.

A tanúsítványalapú ügyfél hitelesítő adatai biztonságosabbak, mint a titkos kulcsok. A tanúsítványok jobban kezelhetők, mivel nem maguk a titkos kódok. A titok nem része az átvitelnek. Titkos kulcs használatakor az ügyfél elküldi a titkos kulcs tényleges értékét a Microsoft Entra-azonosítónak. Tanúsítvány használata esetén a tanúsítvány titkos kulcsa soha nem hagyja el az eszközt. Még ha valaki elfogja, dekódolja és titkosítja is az átvitelt, a titkos kulcs továbbra is biztonságos, mert az elfogó fél nem rendelkezik a titkos kulccsal.

Ajánlott eljárás: Felügyelt identitások használata azure-erőforrásokhoz

Amikor szolgáltatásokat (nem felhasználói alkalmazásokat) fejleszt az Azure-ban, az Azure-erőforrások felügyelt identitásai automatikusan felügyelt identitást biztosítanak a Microsoft Entra ID-ban. Az alkalmazás hitelesítő adatok kezelése nélkül bármely olyan szolgáltatásban hitelesíthet, amely támogatja a Microsoft Entra-hitelesítést. Nem kell titkos kulcsokat kezelnie; nem kell foglalkoznia azzal a lehetőséggel, hogy elveszítse vagy helytelenül kezelje őket. A titkos kulcsokat nem lehet elfogni, mert nem lépnek át a hálózaton. Az Azure-erőforrások felügyelt identitásai az ajánlott eljárás, ha szolgáltatásokat épít az Azure-ban.

Következő lépések

• Az egy- és több-bérlős alkalmazások támogatott identitás- és fióktípusai azt ismertetik, hogyan választhatja ki, hogy az alkalmazás csak a Microsoft Entra-bérlő, bármely Microsoft Entra-bérlő vagy személyes Microsoft-fiókkal rendelkező felhasználók számára engedélyezi-e a hozzáférést.
• Az alkalmazásengedélyezési stratégia fejlesztése segít eldönteni, hogy az alkalmazásengedélyek milyen megközelítést alkalmaznak a hitelesítő adatok kezelésére.
• Az alkalmazás identitásának hitelesítő adatainak megadása, ha nincs felhasználó, elmagyarázza, hogy az Azure-beli szolgáltatások (nem felhasználói alkalmazások) esetében a legjobb Teljes felügyelet ügyfél-hitelesítő adatok az Azure-erőforrások felügyelt identitásai.
• Az ajánlott engedélyezési eljárások segítségével implementálhatja a legjobb engedélyezési, engedély- és hozzájárulási modelleket az alkalmazásokhoz.
• Használjon Teljes felügyelet identitás- és hozzáférés-kezelési fejlesztési ajánlott eljárásokat az alkalmazásfejlesztési életciklusban a biztonságos alkalmazások létrehozásához.
• Az Teljes felügyelet identitáskezelési megközelítéssel rendelkező alkalmazások létrehozása áttekintést nyújt az engedélyekről és az ajánlott eljárások eléréséről.