Felhőalapú szolgáltatásfiókok védelme
A Microsoft Entra-azonosítón natív szolgáltatásfiókok három típusa létezik: felügyelt identitások, szolgáltatásnevek és felhasználóalapú szolgáltatásfiókok. A szolgáltatásfiókok olyan speciális fióktípusok, amelyek nem emberi entitásokat, például alkalmazásokat, API-t vagy más szolgáltatást jelölnek. Ezek az entitások a szolgáltatásfiók által biztosított biztonsági környezetben működnek.
A Microsoft Entra szolgáltatásfiókjainak típusai
Az Azure-ban üzemeltetett szolgáltatások esetében javasoljuk, hogy ha lehetséges, használjon felügyelt identitást, és ha nem, akkor egy egyszerű szolgáltatást. A felügyelt identitások nem használhatók az Azure-on kívül üzemeltetett szolgáltatásokhoz. Ebben az esetben egy szolgáltatásnév használatát javasoljuk. Ha használhat felügyelt identitást vagy szolgáltatásnevet, tegye meg. Javasoljuk, hogy ne használjon Microsoft Entra-felhasználói fiókot szolgáltatásfiókként. Összefoglalásért tekintse meg az alábbi táblázatot.
Szolgáltatás üzemeltetése | Managed identity | Service principal | Azure-felhasználói fiók |
---|---|---|---|
A szolgáltatás az Azure-ban üzemel. | Igen. Ajánlott, ha a szolgáltatás támogatja a felügyelt identitást. |
Igen. | Nem ajánlott. |
A szolgáltatás nem az Azure-ban üzemel. | Nem | Igen. Ajánlott. | Nem ajánlott. |
A szolgáltatás több-bérlős | Nem | Igen. Ajánlott. | Nem. |
Managed identities
A felügyelt identitások biztonságos Microsoft Entra-identitások, amelyek az Azure-erőforrások identitásainak biztosítására lettek létrehozva. A felügyelt identitások kétféleképpen használhatók:
A rendszer által hozzárendelt felügyelt identitások közvetlenül hozzárendelhetők egy szolgáltatáspéldányhoz.
A felhasználó által hozzárendelt felügyelt identitások önálló erőforrásként hozhatók létre.
További információ: Felügyelt identitások biztonságossá tétele. A felügyelt identitásokkal kapcsolatos általános információkért lásd : Mik azok az Azure-erőforrások felügyelt identitásai?
Szolgáltatási elvek
Ha nem tud felügyelt identitást használni az alkalmazás megjelenítéséhez, használjon egyszerű szolgáltatást. A szolgáltatásnevek az önálló bérlős és a több-bérlős alkalmazásokkal is használhatók.
A szolgáltatásnév egy alkalmazásobjektum helyi ábrázolása egyetlen Microsoft Entra-bérlőben. Az alkalmazáspéldány identitásaként működik, meghatározza, hogy ki férhet hozzá az alkalmazáshoz, és milyen erőforrásokhoz férhet hozzá az alkalmazás. Minden bérlőben létrejön egy szolgáltatásnév (helyiről helyire), ahol az alkalmazást használják, és a globálisan egyedi alkalmazásobjektumra hivatkozik. A bérlő biztosítja a szolgáltatásnév bejelentkezését és az erőforrásokhoz való hozzáférést.
A szolgáltatásnevek használatával történő hitelesítésnek két mechanizmusa van: az ügyféltanúsítványok és az ügyfél titkos kulcsai. A tanúsítványok biztonságosabbak: ha lehetséges, használjon ügyféltanúsítványokat. Az ügyfélkódokkal ellentétben az ügyféltanúsítványok nem ágyazhatók be véletlenül a kódba.
A szolgáltatásnevek biztonságossá tételéről további információt a szolgáltatásnevek biztonságossá tételével kapcsolatban talál.
További lépések
Az Azure-szolgáltatásfiókok biztonságossá tételével kapcsolatos további információkért lásd: