Mengamankan akun layanan berbasis cloud
Ada tiga jenis akun layanan yang berasal dari ID Microsoft Entra: Identitas terkelola, perwakilan layanan, dan akun layanan berbasis pengguna. Akun layanan adalah jenis akun khusus yang dimaksudkan untuk mewakili entitas non-manusia seperti aplikasi, API, atau layanan lainnya. Entitas ini beroperasi dalam konteks keamanan yang disediakan oleh akun layanan.
Jenis akun layanan Microsoft Entra
Untuk layanan yang dihost di Azure, sebaiknya gunakan identitas terkelola jika memungkinkan, dan perwakilan layanan jika tidak. Identitas terkelola tidak dapat digunakan untuk layanan yang dihosting di luar Azure. Dalam hal ini, kami merekomendasikan perwakilan layanan. Jika Anda dapat menggunakan identitas terkelola atau perwakilan layanan, lakukan hal tersebut. Kami menyarankan agar Anda tidak menggunakan akun pengguna Microsoft Entra sebagai akun layanan. Lihat tabel berikut ini untuk ringkasan.
| Hosting layanan | Identitas Terkelola | Perwakilan layanan | Akun pengguna Azure |
|---|---|---|---|
| Layanan dihost di Azure. | Ya. Disarankan jika layanan mendukung Identitas Terkelola. |
Ya. | Tidak direkomendasikan. |
| Layanan tidak dihost di Azure. | Tidak | Ya. Disarankan. | Tidak direkomendasikan. |
| Layanan adalah multi-penyewa | Tidak | Ya. Disarankan. | Nomor. |
Identitas Terkelola
Identitas terkelola adalah identitas Microsoft Entra aman yang dibuat untuk memberikan identitas untuk sumber daya Azure. Ada dua jenis identitas terkelola:
Identitas terkelola yang ditetapkan sistem dapat ditetapkan langsung ke instans layanan.
Identitas terkelola yang ditetapkan pengguna dapat dibuat sebagai sumber daya yang berdiri sendiri.
Untuk informasi selengkapnya, lihat Mengamankan identitas terkelola. Untuk informasi selengkapnya tentang identitas terkelola, lihat Apa itu identitas terkelola untuk sumber daya Azure?
Perwakilan layanan
Jika Anda tidak dapat menggunakan identitas terkelola untuk mewakili aplikasi Anda, gunakan perwakilan layanan. Perwakilan layanan dapat digunakan dengan aplikasi penyewa tunggal dan multi-penyewa.
Perwakilan layanan adalah representasi lokal objek aplikasi dalam satu penyewa Microsoft Entra. Itu berfungsi sebagai identitas instans aplikasi, menentukan siapa yang dapat mengakses aplikasi, dan sumber daya apa yang dapat diakses aplikasi. Prinsip layanan dibuat di (lokal bagi) setiap penyewa tempat aplikasi digunakan dan mereferensikan objek aplikasi unik global. Penyewa mengamankan masuk dan akses perwakilan layanan ke sumber daya.
Ada dua mekanisme autentikasi menggunakan perwakilan layanan—sertifikat klien dan rahasia klien. Sertifikat lebih aman: gunakan sertifikat klien jika memungkinkan. Tidak seperti rahasia klien, sertifikat klien tidak dapat disematkan dalam kode secara tidak disengaja.
Untuk informasi tentang mengamankan perwakilan layanan, lihat Mengamankan perwakilan layanan.
Langkah berikutnya
Untuk informasi selengkapnya tentang mengamankan akun layanan Azure, lihat:
Mengamankan identitas terkelola
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk