Che cosa sono le identità dei carichi di lavoro?

Un'identità dei carichi di lavoro è un'identità assegnato a un carico di lavoro software (ad esempio un'applicazione, un servizio, uno script o un contenitore) per autenticare e accedere ad altri servizi e risorse. La terminologia è incoerente nel settore, ma in genere un'identità dei carichi di lavoro è necessaria per eseguire l'autenticazione dell'entità software con un sistema. Ad esempio, per consentire a GitHub Actions di accedere alle sottoscrizioni di Azure, l'azione richiede un'identità dei carichi di lavoro che abbia accesso a tali sottoscrizioni. Un'identità dei carichi di lavoro potrebbe anche essere un ruolo del servizio AWS collegato a un'istanza EC2 con accesso di sola lettura a un bucket Amazon S3.

In Microsoft Entra le identità dei carichi di lavoro sono applicazioni, entità servizio e identità gestite.

Un'applicazione è un'entità astratta, o un modello, definita dal relativo oggetto applicativo. L'oggetto applicativo è la rappresentazione globale dell'applicazione da usare in tutti i tenant. L'oggetto applicativo descrive il modo in cui vengono emessi i token, le risorse a cui l'applicazione deve accedere e le azioni che l'applicazione può eseguire.

Un'entità servizio è la rappresentazione locale o l'istanza dell'applicazione di un oggetto applicativo globale in un tenant specifico. Un oggetto applicativo viene usato come modello per creare un oggetto entità servizio in ogni tenant in cui viene usata l'applicazione. L'oggetto entità servizio definisce il comportamento dell'app nello specifico tenant, ad esempio chi può accedere all'app e le risorse a cui l'app può accedere.

Un'identità gestita è un tipo speciale di entità servizio che elimina la necessità di gestione delle credenziali da parte degli sviluppatori.

Ecco alcuni modi in cui vengono usate le identità dei carichi di lavoro in Microsoft Entra ID:

• Un'app che consente a un'app Web di accedere a Microsoft Graph in base al consenso dell'amministratore o dell'utente. Questo accesso può essere per conto dell'utente o per conto dell'applicazione.
• Un'identità gestita usata da uno sviluppatore per effettuare il provisioning del servizio con accesso a una risorsa di Azure, ad esempio Azure Key Vault o Archiviazione di Azure.
• Un'entità servizio usata da uno sviluppatore per abilitare una pipeline CI/CD per distribuire un'app Web da GitHub al servizio app di Azure.

Identità dei carichi di lavoro, altre identità del computer e identità umane

A livello generale, esistono due tipi di identità: le identità umane e del computer/non umane. Le identità dei carichi di lavoro e le identità dei dispositivi costituiscono insieme un gruppo denominato identità del computer (o non umane). Le identità dei carichi di lavoro rappresentano carichi di lavoro software, mentre le identità dei dispositivi rappresentano dispositivi come computer desktop, dispositivi mobili, sensori IoT e dispositivi gestiti IoT. Le identità dei computer sono diverse dalle identità umane, che rappresentano persone come dipendenti (lavoratori interni e lavoratori in prima linea) e utenti esterni (clienti, consulenti, fornitori e partner).

Necessità di proteggere le identità dei carichi di lavoro

Le soluzioni sono sempre più dipendenti da entità non umane per completare task vitali e il numero di identità non umane aumenta notevolmente. Gli attacchi informatici recenti mostrano che gli antagonisti prendono sempre più di mira le identità non umane rispetto alle identità umane.

In genere, gli utenti umani dispongono di una singola identità per accedere a un'ampia gamma di risorse. A differenza di un utente umano, un carico di lavoro software può dover gestire più credenziali per accedere a risorse diverse e queste credenziali devono essere archiviate in modo sicuro. È inoltre difficile capire quando un'identità dei carichi di lavoro è stata creata o quando deve essere revocata. Le aziende rischiano che le applicazioni o i servizi in uso vengano sfruttati o violati a causa di difficoltà nella protezione delle identità dei carichi di lavoro.

La maggior parte delle soluzioni di gestione delle identità e degli accessi sul mercato è attualmente incentrata solo sulla protezione delle identità umane e non sulle identità dei carichi di lavoro. ID dei carichi di lavoro di Microsoft Entra consente di risolvere questi problemi relativi alla protezione delle identità dei carichi di lavoro.

Scenari principali

Di seguito sono indicati alcuni modi per usare le identità dei carichi di lavoro.

Proteggere l'accesso con i criteri adattivi:

• Applicare i criteri di accesso condizionale alle entità servizio di proprietà dell'organizzazione usando l'accesso condizionale per le identità dei carichi di lavoro.
• Abilitare l’applicazione in tempo reale della posizione e dei criteri di rischio dell'accesso condizionale usando la Valutazione continua dell'accesso per le identità dei carichi di lavoro.
• Gestire attributi di sicurezza personalizzati per un’app

Rilevare in modo intelligente le identità compromesse:

• Rilevare i rischi (ad esempio le credenziali perse), contenere le minacce e ridurre il rischio per le identità dei carichi di lavoro usando Microsoft Entra ID Protection.

Semplificare la gestione del ciclo di vita:

• Accedere alle risorse protette di Microsoft Entra senza dover gestire i segreti per i carichi di lavoro eseguiti in Azure usando identità gestite.
• Accedere alle risorse protette di Microsoft Entra senza dover gestire i segreti usando la federazione delle identità dei carichi di lavoro per scenari supportati, ad esempio GitHub Actions, carichi di lavoro in esecuzione in Kubernetes o carichi di lavoro in esecuzione in piattaforme di calcolo all'esterno di Azure.
• Esaminare le entità servizio e le applicazioni assegnate ai ruoli della directory con privilegi in Microsoft Entra ID usando le verifiche di accesso per le entità servizio.

Passaggi successivi

• Ottenere risposte alle domande frequenti sulle identità dei carichi di lavoro.