Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Esistono tre tipi di account di servizio nativi di Microsoft Entra ID: identità gestite, entità servizio e account del servizio basati sull'utente. Gli account di servizio sono un tipo speciale di account destinato a rappresentare un'entità non umana, ad esempio un'applicazione, un'API o un altro servizio. Queste entità operano all'interno del contesto di sicurezza fornito dall'account del servizio.
Tipi di account del servizio Microsoft Entra
Per i servizi ospitati in Azure, si consiglia di utilizzare un'identità gestita, se possibile, e un principale del servizio, in caso contrario. Le identità gestite non possono essere usate per i servizi ospitati all'esterno di Azure. In tal caso, è consigliabile un principal di servizio. Se è possibile usare un'identità gestita o un'entità servizio, eseguire questa operazione. È consigliabile non usare un account utente Microsoft Entra come account del servizio. Per un riepilogo, vedere la tabella seguente.
| Hosting del servizio | Identità gestita | Service Principal | Account utente di Azure |
|---|---|---|---|
| Il servizio è ospitato in Azure. | Sì. Consigliato se il servizio soddisfa certe condizioni supporta un'identità gestita. |
Sì. | Non consigliato. |
| Il servizio non è ospitato in Azure. | NO | Sì. Consigliato. | Non consigliato. |
| Il servizio è multi-tenant | NO | Sì. Consigliato. | No |
Identità gestite
Le identità gestite sono identità sicure di Microsoft Entra create per fornire identità per le risorse di Azure. Esistono due tipi di identità gestite:
Le identità gestite assegnate dal sistema possono essere assegnate direttamente a un'istanza di un servizio.
Le identità gestite assegnate dall'utente possono essere create come risorsa autonoma.
Per altre informazioni, vedere Protezione delle identità gestite. Per informazioni generali sulle identità gestite, vedere Che cosa sono le identità gestite per le risorse di Azure?
Principali del servizio
Se non è possibile utilizzare un'identità gestita per rappresentare l'applicazione; utilizzare un principale di servizio. I principali di servizio possono essere utilizzati con applicazioni a tenant singolo e multi-tenant.
Un principale del servizio è la rappresentazione locale di un oggetto di applicazione in un singolo tenant Microsoft Entra. Funziona come identità dell'istanza dell'applicazione, definisce chi può accedere all'applicazione e quali risorse l'applicazione può accedere. Viene creato un principale di servizio locale per ogni tenant in cui viene utilizzata l'applicazione e fa riferimento all'oggetto applicazione globalmente univoco. Il tenant protegge l'accesso e l'autenticazione del principale del servizio alle risorse.
Esistono due meccanismi per l'autenticazione tramite principali di servizio: certificati clienti e segreti clienti. I certificati sono più sicuri: se possibile, usare i certificati client. A differenza dei segreti client, i certificati client non possono essere accidentalmente incorporati nel codice.
Per informazioni sulla protezione delle entità servizio, vedere Protezione delle entità servizio.
Passaggi successivi
Per altre informazioni sulla protezione degli account del servizio di Azure, vedere:
Protezione di identità gestite