Zabezpieczanie tożsamości zarządzanych w identyfikatorze Entra firmy Microsoft
W tym artykule dowiesz się, jak zarządzać wpisami tajnymi i poświadczeniami w celu zabezpieczenia komunikacji między usługami. Tożsamości zarządzane zapewniają automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID. Aplikacje używają tożsamości zarządzanych do łączenia się z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra i uzyskiwania tokenów firmy Microsoft entra bez zarządzania poświadczeniami.
Korzyści z tożsamości zarządzanych
Zalety korzystania z tożsamości zarządzanych:
Dzięki tożsamościom zarządzanym poświadczenia są w pełni zarządzane, obracane i chronione przez platformę Azure. Tożsamości są udostępniane i usuwane z zasobów platformy Azure. Tożsamości zarządzane umożliwiają zasobom platformy Azure komunikowanie się z usługami obsługującymi uwierzytelnianie firmy Microsoft Entra.
Nikt, w tym przypisane role uprzywilejowane, nie ma dostępu do poświadczeń, które nie mogą zostać przypadkowo ujawnione przez dołączenie do kodu.
Korzystanie z tożsamości zarządzanych
Tożsamości zarządzane najlepiej nadają się do komunikacji między usługami obsługującymi uwierzytelnianie firmy Microsoft Entra. System źródłowy żąda dostępu do usługi docelowej. Każdy zasób platformy Azure może być systemem źródłowym. Na przykład maszyna wirtualna platformy Azure, wystąpienie funkcji platformy Azure i wystąpienia usługi aplikacja systemu Azure Services obsługują tożsamości zarządzane.
Dowiedz się więcej w filmie wideo Co może być używana tożsamość zarządzana?
Uwierzytelnianie i autoryzacja
Dzięki tożsamościom zarządzanym system źródłowy uzyskuje token z identyfikatora Entra firmy Microsoft bez zarządzania poświadczeniami właściciela. Platforma Azure zarządza poświadczeniami. Tokeny uzyskane przez system źródłowy są prezentowane systemowi docelowemu na potrzeby uwierzytelniania.
System docelowy uwierzytelnia się i autoryzuje system źródłowy, aby zezwolić na dostęp. Jeśli usługa docelowa obsługuje uwierzytelnianie Firmy Microsoft Entra, akceptuje token dostępu wystawiony przez identyfikator Entra firmy Microsoft.
Platforma Azure ma płaszczyznę sterowania i płaszczyznę danych. Zasoby są tworzone na płaszczyźnie sterowania i uzyskujesz do nich dostęp w płaszczyźnie danych. Na przykład utworzysz bazę danych usługi Azure Cosmos DB na płaszczyźnie sterowania, ale wykonasz zapytanie względem niej na płaszczyźnie danych.
Po zaakceptowaniu tokenu na potrzeby uwierzytelniania system docelowy obsługuje mechanizmy autoryzacji dla płaszczyzny sterowania i płaszczyzny danych.
Operacje płaszczyzny sterowania platformy Azure są zarządzane przez usługę Azure Resource Manager i używają kontroli dostępu opartej na rolach (RBAC) platformy Azure. W płaszczyźnie danych systemy docelowe mają mechanizmy autoryzacji. Usługa Azure Storage obsługuje kontrolę dostępu opartą na rolach platformy Azure na płaszczyźnie danych. Na przykład aplikacje korzystające z usług aplikacja systemu Azure Services mogą odczytywać dane z usługi Azure Storage, a aplikacje korzystające z usługi Azure Kubernetes Service mogą odczytywać wpisy tajne przechowywane w usłudze Azure Key Vault.
Więcej informacji:
- Co to jest usługa Azure Resource Manager?
- Co to jest oparta na rolach na platformie Azure kontrola dostępu oparta na rolach platformy Azure?
- Płaszczyzna sterowania i płaszczyzna danych platformy Azure
- Usługi platformy Azure, które mogą uzyskiwać dostęp do innych usług przy użyciu tożsamości zarządzanych
Tożsamości zarządzane przypisane przez system i przypisane przez użytkownika
Istnieją dwa typy tożsamości zarządzanych, przypisane przez system i użytkownika.
Tożsamość zarządzana przypisana przez system:
- Relacja jeden do jednego z zasobem platformy Azure
- Na przykład istnieje unikatowa tożsamość zarządzana skojarzona z każdą maszyną wirtualną
- Powiązane z cyklem życia zasobów platformy Azure. Po usunięciu zasobu skojarzona z nim tożsamość zarządzana zostanie automatycznie usunięta.
- Ta akcja eliminuje ryzyko związane z kontami oddzielonymi
Tożsamość zarządzana przypisana przez użytkownika
- Cykl życia jest niezależny od zasobu platformy Azure. Cykl życia jest zarządzany.
- Po usunięciu zasobu platformy Azure przypisana przez użytkownika tożsamość zarządzana nie zostanie automatycznie usunięta
- Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika do zera lub większej liczby zasobów platformy Azure
- Utwórz tożsamość przed upływem czasu, a następnie przypisz ją do zasobu później
Znajdowanie jednostek usługi tożsamości zarządzanej w identyfikatorze Entra firmy Microsoft
Aby znaleźć tożsamości zarządzane, możesz użyć:
- Strona Aplikacje dla przedsiębiorstw w witrynie Azure Portal
- Microsoft Graph
Azure Portal
W witrynie Azure Portal w obszarze nawigacji po lewej stronie wybierz pozycję Microsoft Entra ID.
W obszarze nawigacji po lewej stronie wybierz pozycję Aplikacje dla przedsiębiorstw.
W kolumnie Typ aplikacji w obszarze Wartość wybierz strzałkę w dół, aby wybrać pozycję Tożsamości zarządzane.
Microsoft Graph
Użyj następującego żądania GET do programu Microsoft Graph, aby uzyskać listę tożsamości zarządzanych w dzierżawie.
https://graph.microsoft.com/v1.0/servicePrincipals?$filter=(servicePrincipalType eq 'ManagedIdentity')
Możesz filtrować te żądania. Aby uzyskać więcej informacji, zobacz GET servicePrincipal.
Ocena zabezpieczeń tożsamości zarządzanej
Aby ocenić zabezpieczenia tożsamości zarządzanej:
Sprawdź uprawnienia, aby upewnić się, że wybrano model o najniższych uprawnieniach
- Użyj następującego polecenia cmdlet programu Microsoft Graph, aby uzyskać uprawnienia przypisane do tożsamości zarządzanych:
Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId <String>
Upewnij się, że tożsamość zarządzana nie jest częścią grupy uprzywilejowanej, takiej jak grupa administratorów.
- Aby wyliczyć członków grup z wysokimi uprawnieniami za pomocą programu Microsoft Graph:
Get-MgGroupMember -GroupId <String> [-All <Boolean>] [-Top <Int32>] [<CommonParameters>]
Przenoszenie do tożsamości zarządzanych
Jeśli używasz jednostki usługi lub konta użytkownika Microsoft Entra, oceń użycie tożsamości zarządzanych. Można wyeliminować konieczność ochrony, rotacji i zarządzania poświadczeniami.
Następne kroki
- Co to są tożsamości zarządzane dla zasobów platformy Azure?
- Konfigurowanie tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej przy użyciu witryny Azure Portal
Konta usług