Protezione degli account del servizio basati sul cloud
Esistono tre tipi di account di servizio nativi di Microsoft Entra ID: identità gestite, entità servizio e account del servizio basati sull'utente. Gli account di servizio sono un tipo speciale di account destinato a rappresentare un'entità non umana, ad esempio un'applicazione, un'API o un altro servizio. Queste entità operano all'interno del contesto di sicurezza fornito dall'account del servizio.
Tipi di account del servizio Microsoft Entra
Per i servizi ospitati in Azure, è consigliabile usare un'identità gestita, se possibile, e un'entità servizio, in caso contrario. Le identità gestite non possono essere usate per i servizi ospitati all'esterno di Azure. In tal caso, è consigliabile un'entità servizio. Se è possibile usare un'identità gestita o un'entità servizio, eseguire questa operazione. È consigliabile non usare un account utente Microsoft Entra come account del servizio. Per un riepilogo, vedere la tabella seguente.
| Hosting di servizi | Identità gestita | Entità servizio | Account utente Azure |
|---|---|---|---|
| Il servizio è ospitato in Azure. | Sì. Consigliato se il servizio supporta un'identità gestita. |
Sì. | Opzione non consigliata. |
| Il servizio non è ospitato in Azure. | No | Sì. Requisiti consigliati. | Opzione non consigliata. |
| Il servizio è multi-tenant | No | Sì. Requisiti consigliati. | Nr. |
Identità gestite
Le identità gestite sono identità sicure di Microsoft Entra create per fornire identità per le risorse di Azure. Esistono due tipi di identità gestite:
Le identità gestite assegnate dal sistema possono essere assegnate direttamente a un'istanza di un servizio.
Le identità gestite assegnate dall'utente possono essere create come risorsa autonoma.
Per altre informazioni, vedere Protezione delle identità gestite. Per informazioni generali sulle identità gestite, vedere Che cosa sono le identità gestite per le risorse di Azure?
Entità servizio
Se non è possibile usare un'identità gestita per rappresentare l'applicazione, usare un'entità servizio. Le entità servizio possono essere usate con applicazioni a tenant singolo e multi-tenant.
Un'entità servizio è la rappresentazione locale di un oggetto applicazione in un singolo tenant di Microsoft Entra. Funziona come identità dell'istanza dell'applicazione, definisce chi può accedere all'applicazione e quali risorse l'applicazione può accedere. Viene creata un'entità servizio in (locale a) ogni tenant in cui viene usata l'applicazione e fa riferimento all'oggetto applicazione univoco a livello globale. Il tenant protegge l'accesso e l'accesso delle entità servizio alle risorse.
Esistono due meccanismi per l'autenticazione tramite entità servizio, ovvero certificati client e segreti client. I certificati sono più sicuri: se possibile, usare i certificati client. A differenza dei segreti client, i certificati client non possono essere accidentalmente incorporati nel codice.
Per informazioni sulla protezione delle entità servizio, vedere Protezione delle entità servizio.
Passaggi successivi
Per altre informazioni sulla protezione degli account del servizio di Azure, vedere:
Protezione delle identità gestite