Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tożsamość robocza to tożsamość przypisywana do obciążenia oprogramowania (na przykład aplikacji, usługi, skryptu lub kontenera) w celu uwierzytelniania i uzyskiwania dostępu do innych usług i zasobów. Terminologia jest niespójna w całej branży, ale ogólnie tożsamość zadania roboczego jest czymś, czego potrzebujesz, aby jednostka oprogramowania mogła uwierzytelnić się w jakimś systemie. Na przykład aby funkcja GitHub Actions uzyskiwała dostęp do subskrypcji platformy Azure, akcja wymaga tożsamości obciążenia, która ma dostęp do tych subskrypcji. Tożsamość obciążenia roboczego może być również rolą serwisową AWS dołączoną do instancji EC2 z dostępem tylko do odczytu do bucketu Amazon S3.
W firmie Microsoft Entra tożsamości obciążeń to aplikacje, jednostki usługi i tożsamości zarządzane.
Aplikacja jest abstrakcyjną jednostką lub szablonem zdefiniowanym przez jego obiekt aplikacji. Obiekt aplikacji to globalna reprezentacja twojej aplikacji do użycia we wszystkich najemcach. Obiekt aplikacji opisuje sposób wystawiania tokenów, zasobów, do których aplikacja potrzebuje dostępu, oraz akcji, które może wykonać aplikacja.
Jednostka usługi jest lokalną reprezentacją lub wystąpieniem aplikacji globalnego obiektu aplikacji w określonej dzierżawie. Obiekt aplikacji jest używany jako szablon do utworzenia obiektu głównego usługi w każdej dzierżawie, w której jest używana aplikacja. Obiekt jednostki usługi definiuje, co aplikacja faktycznie może zrobić w określonej dzierżawie, kto może mieć do niej dostęp i do jakich zasobów może mieć dostęp.
Zarządzana tożsamość to specjalny typ zasad dostępu, który eliminuje potrzebę zarządzania poświadczeniami przez programistów.
Oto kilka sposobów wykorzystania tożsamości obciążeń w Microsoft Entra ID:
- Aplikacja, która umożliwia aplikacji internetowej dostęp do programu Microsoft Graph na podstawie zgody administratora lub użytkownika. Ten dostęp może być w imieniu użytkownika lub w imieniu aplikacji.
- Tożsamość zarządzana używana przez dewelopera do aprowizowania usługi z dostępem do zasobu platformy Azure, takiego jak Azure Key Vault lub Azure Storage.
- Uprawnienie usługi używane przez dewelopera w celu umożliwienia potoku CI/CD do wdrożenia aplikacji internetowej z GitHub do Azure App Service.
Tożsamości obciążeń roboczych, inne tożsamości maszyn i tożsamości ludzkie
Na wysokim poziomie istnieją dwa typy tożsamości: ludzkie i nieludzkie tożsamości. Tożsamości obciążeń i tożsamości urządzeń tworzą razem grupę nazywaną tożsamościami maszyn (lub nieludzkimi). Tożsamości obciążeń reprezentują obciążenia oprogramowania, podczas gdy tożsamości urządzeń reprezentują urządzenia, takie jak komputery stacjonarne, urządzenia przenośne, czujniki IoT i urządzenia zarządzane przez IoT. Tożsamości maszyn różnią się od tożsamości człowieka, które reprezentują osoby, takie jak pracownicy (pracownicy wewnętrzni i pracownicy frontonu) oraz użytkownicy zewnętrzni (klienci, doradcy, dostawcy i partnerzy).
Potrzeba zabezpieczania tożsamości obciążeń
Coraz więcej rozwiązań polega na jednostkach nieludzkich w celu wykonywania ważnych zadań, a liczba tożsamości innych niż ludzka znacznie się zwiększa. Ostatnie ataki cybernetyczne pokazują, że przeciwnicy są coraz bardziej ukierunkowani na tożsamości nieludzkie nad tożsamościami ludzkimi.
Użytkownicy zazwyczaj mają jedną tożsamość używaną do uzyskiwania dostępu do szerokiego zakresu zasobów. W przeciwieństwie do użytkownika ludzkiego obciążenie oprogramowania może obsługiwać wiele poświadczeń w celu uzyskania dostępu do różnych zasobów, a te poświadczenia muszą być bezpiecznie przechowywane. Trudno jest również śledzić, kiedy jest tworzona tożsamość zadania lub kiedy powinna zostać odwołana. Przedsiębiorstwa ryzykują, że ich aplikacje lub usługi zostaną wykorzystane lub naruszone z powodu trudności w zabezpieczaniu tożsamości obciążeń prac.
Większość rozwiązań do zarządzania tożsamościami i dostępem na rynku koncentruje się obecnie tylko na zabezpieczaniu tożsamości człowieka, a nie na tożsamościach obciążeń. Identyfikator obciążenia Microsoft Entra pomaga rozwiązywać te problemy związane z zabezpieczaniem tożsamości obciążeń.
Kluczowe scenariusze
Poniżej przedstawiono kilka sposobów używania tożsamości roboczych.
Bezpieczny dostęp za pomocą zasad adaptacyjnych:
- Zastosuj zasady Dostępu warunkowego do pryncypałów usług należących do organizacji przy użyciu Dostępu warunkowego dla tożsamości obciążeń.
- Włącz wymuszanie lokalizacji dostępu warunkowego i zasad ryzyka w czasie rzeczywistym przy użyciu ciągłej oceny dostępu dla tożsamości obciążeń.
- Zarządzanie niestandardowymi atrybutami zabezpieczeń dla aplikacji
Inteligentne wykrywanie tożsamości, których bezpieczeństwo jest naruszone:
- Wykrywaj ryzyka (takie jak ujawnione poświadczenia), powstrzymuj zagrożenia i zmniejsz ryzyko związane z tożsamościami obciążeń przy użyciu Microsoft Entra ID Protection.
Uproszczenie zarządzania cyklem życia:
- Uzyskaj dostęp do chronionych zasobów Microsoft Entra bez konieczności zarządzania sekretami dla obciążeń uruchamianych na platformie Azure przy użyciu tożsamości zarządzanych.
- Uzyskaj dostęp do chronionych zasobów Microsoft Entra, bez konieczności zarządzania sekretem, używając federacji tożsamości dla obciążeń w obsługiwanych scenariuszach, takich jak GitHub Actions, obciążenia uruchomione na platformach Kubernetes, lub obciążenia działające na platformach obliczeniowych spoza Azure.
- Przejrzyj jednostki usługi i aplikacje przypisane do ról katalogu uprzywilejowanego w usłudze Microsoft Entra ID, korzystając z przeglądów dostępu dla jednostek usługi.
Następne kroki
- Uzyskaj odpowiedzi na często zadawane pytania dotyczące tożsamości obciążeń roboczych.