Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ha fejlesztőként nem használt alkalmazásokat hoz létre, nincs olyan felhasználója, akitől felhasználónevet és jelszót vagy többtényezős hitelesítést (MFA) kérhet. Az alkalmazás identitását önállóan kell megadnia. Ez a cikk azt ismerteti, hogy az Azure-beli szolgáltatások (nemfelhasználó alkalmazások) esetében a legjobb Teljes felügyelet ügyfél-hitelesítő adatok miért az Azure-erőforrások felügyelt identitásai.
Szolgáltatásfiókokkal kapcsolatos problémák
A "szolgáltatásfiók" használata (felhasználói fiók létrehozása és szolgáltatáshoz való használata) nem jó megoldás. A Microsoft Entra ID nem rendelkezik szolgáltatásfiók-koncepcióval. Amikor a rendszergazdák felhasználói fiókokat hoznak létre egy szolgáltatáshoz, majd jelszavakat osztanak meg a fejlesztőkkel, az nem biztonságos. Nem lehet jelszó nélküli vagy MFA-juk. A felhasználói fiók szolgáltatásfiókként való használata helyett a legjobb megoldás az alábbi ügyfél-hitelesítő adatok egyikének használata.
Ügyfél hitelesítő adatainak beállításai
Az ügyfél hitelesítő adatainak négy típusa azonosíthat egy alkalmazást.
- Titkos kulcs
- Tanúsítvány
- Felügyelt identitások Azure-erőforrásokhoz
- Összevont hitelesítő adatok
Titkos kulcs vagy tanúsítvány?
A titkos kulcsok akkor elfogadhatók, ha kifinomult titkos kulcskezelési infrastruktúrával (például Azure Key Vault) rendelkezik a vállalatnál. A titkos kulcsok azonban olyan helyzetekben, amikor az IT Pro létrehoz egy titkos kulcsot, majd e-maileket küld egy fejlesztőnek, aki ezután nem biztonságos helyen, például egy számolótáblában tárolja, a titkos kulcsok nem lesznek megfelelően védve.
A tanúsítványalapú ügyfél hitelesítő adatai biztonságosabbak, mint a titkos kulcsok. A tanúsítványok jobban kezelhetők, mivel nem maguk a titkos kódok. A titok nem része az átvitelnek. Titkos kulcs használatakor az ügyfél elküldi a titkos kulcs tényleges értékét a Microsoft Entra-azonosítónak. Tanúsítvány használata esetén a tanúsítvány titkos kulcsa soha nem hagyja el az eszközt. Még ha valaki elfogja, dekódolja és titkosítja is az átvitelt, a titkos kulcs továbbra is biztonságos, mert az elfogó fél nem rendelkezik a titkos kulccsal.
Ajánlott eljárás: Felügyelt identitások használata azure-erőforrásokhoz
Amikor szolgáltatásokat fejleszt (nem használatalapú alkalmazásokat) az Azure-ban, az Azure-erőforrások felügyelt identitásai automatikusan felügyelt identitást biztosítanak a Microsoft Entra ID-ban. Az alkalmazás hitelesítő adatok kezelése nélkül bármely olyan szolgáltatásban hitelesíthet, amely támogatja a Microsoft Entra-hitelesítést. Nem kell titkos kulcsokat kezelnie; nem kell foglalkoznia azzal a lehetőséggel, hogy elveszítse vagy helytelenül kezelje őket. A titkos kulcsokat nem lehet elfogni, mert nem lépnek át a hálózaton. Az Azure-erőforrások felügyelt identitásai az ajánlott eljárás, ha szolgáltatásokat épít az Azure-ban.
Következő lépések
- Az egy- és több-bérlős alkalmazások támogatott identitás- és fióktípusai azt ismertetik, hogyan választhatja ki, hogy az alkalmazás csak a Microsoft Entra-bérlői, bármely Microsoft Entra-bérlői vagy személyes Microsoft-fiókkal rendelkező felhasználókat engedélyezi-e.
- Az alkalmazásengedélyezési stratégia kialakításával eldöntheti, hogy milyen alkalmazásengedély-megközelítést alkalmaz a hitelesítő adatok kezelésére.
- Adja meg az alkalmazás identitási hitelesítő adatait, ha nincs felhasználó , és elmagyarázza, hogy miért az Azure-erőforrások felügyelt identitásai a legjobb ügyfél-hitelesítő adatok az Azure-beli szolgáltatások (nem használatalapú alkalmazások) esetében.
- Az ajánlott engedélyezési eljárások segítségével implementálhatja a legjobb engedélyezési, engedély- és hozzájárulási modelleket az alkalmazásokhoz.
- Használjon Teljes felügyelet identitás- és hozzáférés-kezelési fejlesztési ajánlott eljárásokat az alkalmazásfejlesztési életciklusban a biztonságos alkalmazások létrehozásához.
- Az Teljes felügyelet identitáskezelési megközelítéssel rendelkező alkalmazások létrehozása áttekintést nyújt az engedélyekről és az ajánlott eljárások eléréséről.