Referenties voor toepassingsidentiteit opgeven wanneer er geen gebruiker is
Wanneer u als ontwikkelaar niet-gebruikerstoepassingen bouwt, hebt u geen gebruiker die u kunt vragen om een gebruikersnaam en wachtwoord of Meervoudige verificatie (MFA). U moet de identiteit van de toepassing zelf opgeven. In dit artikel wordt uitgelegd waarom de beste zero Trust-clientreferenties voor services (niet-gebruikerstoepassingen) in Azure beheerde identiteiten zijn voor Azure-resources.
Problemen met serviceaccounts
Het gebruik van een 'serviceaccount' (een gebruikersaccount maken en gebruiken voor een service) is geen goede oplossing. Microsoft Entra ID heeft geen serviceaccountconcept. Wanneer beheerders gebruikersaccounts voor een service maken en wachtwoorden vervolgens delen met ontwikkelaars, is dit onveilig. Het kan geen wachtwoordloos zijn of een MFA hebben. In plaats van een gebruikersaccount als een serviceaccount te gebruiken, kunt u het beste een van de volgende clientreferentieopties gebruiken.
Opties voor clientreferenties
Er zijn vier typen clientreferenties waarmee een toepassing kan worden geïdentificeerd.
- Geheime sleutel
- Certificaat
- Beheerde identiteiten voor Azure-resources
- Federatieve referenties
Geheime sleutel of certificaat?
Geheime sleutels zijn acceptabel wanneer u een geavanceerde infrastructuur voor geheimenbeheer (zoals Azure Key Vault) in uw onderneming hebt. Geheime sleutels in scenario's waarin de IT-professional echter een geheime sleutel genereert en vervolgens een e-mail stuurt naar een ontwikkelaar die deze vervolgens op een onveilige locatie kan opslaan, zoals een spreadsheet, zorgt ervoor dat geheime sleutels niet goed worden beveiligd.
Clientreferenties op basis van certificaten zijn veiliger dan geheime sleutels. Certificaten worden beter beheerd omdat ze niet het geheim zelf zijn. Het geheim maakt geen deel uit van een overdracht. Wanneer u een geheime sleutel gebruikt, verzendt uw client de werkelijke waarde van de geheime sleutel naar Microsoft Entra-id. Wanneer u een certificaat gebruikt, verlaat de persoonlijke sleutel van het certificaat het apparaat nooit. Zelfs als iemand de overdracht onderschept, ontsleutelt en ontsleutelt, is het geheim nog steeds veilig omdat de onderscheppende partij niet over de persoonlijke sleutel beschikt.
Best practice: Beheerde identiteiten gebruiken voor Azure-resources
Wanneer u services (niet-gebruikerstoepassingen) in Azure ontwikkelt, bieden beheerde identiteiten voor Azure-resources een automatisch beheerde identiteit in Microsoft Entra-id. De app kan worden geverifieerd bij elke service die Ondersteuning biedt voor Microsoft Entra-verificatie zonder referenties te beheren. U hoeft geen geheimen te beheren; U hoeft niet te reageren op de mogelijkheid om ze kwijt te raken of te mishanden. Geheimen kunnen niet worden onderschept omdat ze niet via het netwerk worden verplaatst. Beheerde identiteiten voor Azure-resources is de aanbevolen procedure als u services bouwt in Azure.
Volgende stappen
- In ondersteunde identiteits- en accounttypen voor apps met één en meerdere tenants wordt uitgelegd hoe u kunt kiezen of uw app alleen gebruikers van uw Microsoft Entra-tenant, elke Microsoft Entra-tenant of gebruikers met persoonlijke Microsoft-accounts toestaat.
- Door een strategie voor toepassingsmachtigingen te ontwikkelen, kunt u beslissen over de benadering van uw toepassingsmachtigingen voor referentiebeheer.
- Geef referenties voor toepassingsidentiteiten op wanneer er geen gebruiker is waarom Beheerde identiteiten voor Azure-resources de beste methode voor clientreferenties zijn voor services (niet-gebruikerstoepassingen) in Azure.
- Met best practices voor autorisatie kunt u de beste autorisatie-, machtigings- en toestemmingsmodellen voor uw toepassingen implementeren.
- Gebruik best practices voor identiteits- en toegangsbeheer van Zero Trust in de ontwikkelingslevenscyclus van uw toepassing om veilige toepassingen te maken.
- Het bouwen van apps met een Zero Trust-benadering voor identiteit biedt een overzicht van machtigingen en aanbevolen procedures voor toegang.