Condividi tramite


Protezione degli account del servizio basati sul cloud

Esistono tre tipi di account di servizio nativi di Microsoft Entra ID: identità gestite, entità servizio e account del servizio basati sull'utente. Gli account di servizio sono un tipo speciale di account destinato a rappresentare un'entità non umana, ad esempio un'applicazione, un'API o un altro servizio. Queste entità operano all'interno del contesto di sicurezza fornito dall'account del servizio.

Tipi di account del servizio Microsoft Entra

Per i servizi ospitati in Azure, è consigliabile usare un'identità gestita, se possibile, e un'entità servizio, in caso contrario. Le identità gestite non possono essere usate per i servizi ospitati all'esterno di Azure. In tal caso, è consigliabile un'entità servizio. Se è possibile usare un'identità gestita o un'entità servizio, eseguire questa operazione. È consigliabile non usare un account utente Microsoft Entra come account del servizio. Per un riepilogo, vedere la tabella seguente.

Hosting di servizi Identità gestita Entità servizio Account utente Azure
Il servizio è ospitato in Azure. Sì.
Consigliato se il servizio
supporta un'identità gestita.
Sì. Opzione non consigliata.
Il servizio non è ospitato in Azure. No Sì. Requisiti consigliati. Opzione non consigliata.
Il servizio è multi-tenant No Sì. Requisiti consigliati. No.

Identità gestite

Le identità gestite sono identità sicure di Microsoft Entra create per fornire identità per le risorse di Azure. Sono disponibili due tipi di identità gestite:

  • Le identità gestite assegnate dal sistema possono essere assegnate direttamente a un'istanza di un servizio.

  • Le identità gestite assegnate dall'utente possono essere create come risorsa autonoma.

Per altre informazioni, vedere Protezione delle identità gestite. Per informazioni generali sulle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure

Entità servizio

Se non è possibile usare un'identità gestita per rappresentare l'applicazione, usare un'entità servizio. Le entità servizio possono essere usate con applicazioni a tenant singolo e multi-tenant.

Un'entità servizio è la rappresentazione locale di un oggetto applicazione in un singolo tenant di Microsoft Entra. Funziona come identità dell'istanza dell'applicazione, definisce chi può accedere all'applicazione e quali risorse l'applicazione può accedere. Un'entità servizio viene creata in (locale per) ogni tenant in cui viene usata l'applicazione e fa riferimento all'oggetto applicativo univoco a livello globale. Il tenant protegge l'accesso e l'accesso delle entità servizio alle risorse.

Esistono due meccanismi per l'autenticazione tramite entità servizio, ovvero certificati client e segreti client. I certificati sono più sicuri: se possibile, usare i certificati client. A differenza dei segreti client, i certificati client non possono essere accidentalmente incorporati nel codice.

Per informazioni sulla protezione delle entità servizio, vedere Protezione delle entità servizio.

Passaggi successivi

Per altre informazioni sulla protezione degli account del servizio di Azure, vedere:

Protezione di identità gestite

Protezione delle entità servizio

Governance degli account del servizio di Azure