Cloudserviceaccounts beveiligen
Er zijn drie typen serviceaccounts die systeemeigen zijn voor Microsoft Entra ID: Beheerde identiteiten, service-principals en serviceaccounts op basis van gebruikers. Serviceaccounts zijn een speciaal type account dat bedoeld is om een niet-menselijke entiteit te vertegenwoordigen, zoals een toepassing, API of andere service. Deze entiteiten werken binnen de beveiligingscontext die wordt geleverd door het serviceaccount.
Typen Microsoft Entra-serviceaccounts
Voor services die worden gehost in Azure, raden we u aan om indien mogelijk een beheerde identiteit te gebruiken en zo niet een service-principal. Beheerde identiteiten kunnen niet worden gebruikt voor services die buiten Azure worden gehost. In dat geval raden we een service-principal aan. Als u een beheerde identiteit of een service-principal kunt gebruiken, doet u dit. U wordt aangeraden geen Microsoft Entra-gebruikersaccount als serviceaccount te gebruiken. Zie de volgende tabel voor een samenvatting.
| Servicehosting | Beheerde identiteit | Service-principal | Azure-gebruikersaccount |
|---|---|---|---|
| De service wordt gehost in Azure. | Ja. Aanbevolen als de service ondersteunt een beheerde identiteit. |
Ja. | Niet aanbevolen. |
| De service wordt niet gehost in Azure. | Nee | Ja. Aanbevolen. | Niet aanbevolen. |
| Service is meerdere tenants | Nee | Ja. Aanbevolen. | Nee |
Beheerde identiteiten
Beheerde identiteiten zijn beveiligde Microsoft Entra-identiteiten die zijn gemaakt om identiteiten voor Azure-resources te bieden. Er zijn twee typen beheerde identiteiten:
Door het systeem toegewezen beheerde identiteiten kunnen rechtstreeks worden toegewezen aan een exemplaar van een service.
Door de gebruiker toegewezen beheerde identiteiten kunnen worden gemaakt als een zelfstandige resource.
Zie Beheerde identiteiten beveiligen voor meer informatie. Zie Wat zijn beheerde identiteiten voor Azure-resources voor algemene informatie over beheerde identiteiten ?
Service-principals
Als u geen beheerde identiteit kunt gebruiken om uw toepassing weer te geven, gebruikt u een service-principal. Service-principals kunnen worden gebruikt met zowel één tenant als toepassingen met meerdere tenants.
Een service-principal is de lokale weergave van een toepassingsobject in één Microsoft Entra-tenant. Het fungeert als de identiteit van het toepassingsexemplaren, definieert wie toegang heeft tot de toepassing en tot welke resources de toepassing toegang heeft. Er wordt een service-principal gemaakt in elke tenant waar de toepassing wordt gebruikt en verwijst naar het globaal unieke toepassingsobject. De tenant beveiligt de aanmelding en toegang tot resources van de service-principal.
Er zijn twee mechanismen voor de verificatie met behulp van service-principals: clientcertificaten en clientgeheimen. Certificaten zijn veiliger: gebruik indien mogelijk clientcertificaten. In tegenstelling tot clientgeheimen kunnen clientcertificaten niet per ongeluk worden ingesloten in code.
Zie Service-principals beveiligen voor meer informatie over het beveiligen van service-principals.
Volgende stappen
Zie voor meer informatie over het beveiligen van Azure-serviceaccounts: