Co to są tożsamości obciążeń?

Tożsamość obciążenia to tożsamość przypisywana do obciążenia oprogramowania (na przykład aplikacji, usługi, skryptu lub kontenera) w celu uwierzytelniania i uzyskiwania dostępu do innych usług i zasobów. Terminologia jest niespójna w całej branży, ale ogólnie tożsamość obciążenia jest czymś, czego potrzebujesz, aby jednostka oprogramowania uwierzytelniła się w niektórych systemach. Na przykład aby funkcja GitHub Actions uzyskiwała dostęp do subskrypcji platformy Azure, akcja wymaga tożsamości obciążenia, która ma dostęp do tych subskrypcji. Tożsamość obciążenia może być również rolą usługi AWS dołączoną do wystąpienia usługi EC2 z dostępem tylko do odczytu do zasobnika Amazon S3.

W firmie Microsoft Entra tożsamości obciążeń to aplikacje, jednostki usługi i tożsamości zarządzane.

Aplikacja jest abstrakcyjną jednostką lub szablonem zdefiniowanym przez jego obiekt aplikacji. Obiekt aplikacji to globalna reprezentacja aplikacji do użycia we wszystkich dzierżawach. Obiekt aplikacji opisuje sposób wystawiania tokenów, zasobów, do których aplikacja potrzebuje dostępu, oraz akcji, które może wykonać aplikacja.

Jednostka usługi jest lokalną reprezentacją lub wystąpieniem aplikacji globalnego obiektu aplikacji w określonej dzierżawie. Obiekt aplikacji jest używany jako szablon do tworzenia obiektu jednostki usługi w każdej dzierżawie, w której jest używana aplikacja. Obiekt jednostki usługi definiuje, co aplikacja może faktycznie zrobić w określonej dzierżawie, kto może uzyskać dostęp do aplikacji i do jakich zasobów może uzyskać dostęp aplikacja.

Tożsamość zarządzana to specjalny typ jednostki usługi, który eliminuje konieczność zarządzania poświadczeniami przez deweloperów.

Oto kilka sposobów użycia tożsamości obciążeń w identyfikatorze Entra firmy Microsoft:

• Aplikacja, która umożliwia aplikacji internetowej dostęp do programu Microsoft Graph na podstawie zgody administratora lub użytkownika. Ten dostęp może być w imieniu użytkownika lub w imieniu aplikacji.
• Tożsamość zarządzana używana przez dewelopera do aprowizowania usługi z dostępem do zasobu platformy Azure, takiego jak Azure Key Vault lub Azure Storage.
• Jednostka usługi używana przez dewelopera w celu umożliwienia potoku ciągłej integracji/ciągłego wdrażania w celu wdrożenia aplikacji internetowej z usługi GitHub do usługi aplikacja systemu Azure.

Tożsamości obciążeń, inne tożsamości maszyn i tożsamości człowieka

Na wysokim poziomie istnieją dwa typy tożsamości: ludzkie i nieludzkie tożsamości. Tożsamości obciążeń i tożsamości urządzeń tworzą razem grupę nazywaną tożsamościami maszyn (lub nieludzkimi). Tożsamości obciążeń reprezentują obciążenia oprogramowania, podczas gdy tożsamości urządzeń reprezentują urządzenia, takie jak komputery stacjonarne, urządzenia przenośne, czujniki IoT i urządzenia zarządzane przez IoT. Tożsamości maszyn różnią się od tożsamości człowieka, które reprezentują osoby, takie jak pracownicy (pracownicy wewnętrzni i pracownicy frontonu) oraz użytkownicy zewnętrzni (klienci, doradcy, dostawcy i partnerzy).

Potrzeba zabezpieczania tożsamości obciążeń

Coraz więcej rozwiązań polega na jednostkach nieludzkich w celu wykonywania ważnych zadań, a liczba tożsamości innych niż ludzka znacznie się zwiększa. Ostatnie ataki cybernetyczne pokazują, że przeciwnicy są coraz bardziej ukierunkowani na tożsamości nieludzkie nad tożsamościami ludzkimi.

Użytkownicy z użytkownikami zazwyczaj mają jedną tożsamość używaną do uzyskiwania dostępu do szerokiego zakresu zasobów. W przeciwieństwie do użytkownika ludzkiego obciążenie oprogramowania może obsługiwać wiele poświadczeń w celu uzyskania dostępu do różnych zasobów, a te poświadczenia muszą być bezpiecznie przechowywane. Trudno jest również śledzić, kiedy jest tworzona tożsamość obciążenia lub kiedy ma zostać odwołana. Przedsiębiorstwa ryzykują wykorzystanie lub naruszenie aplikacji lub usług z powodu trudności w zabezpieczaniu tożsamości obciążeń.

Większość rozwiązań do zarządzania tożsamościami i dostępem na rynku koncentruje się obecnie tylko na zabezpieczaniu tożsamości człowieka, a nie na tożsamościach obciążeń. Tożsamość obciążeń Microsoft Entra pomaga rozwiązać te problemy podczas zabezpieczania tożsamości obciążeń.

Kluczowe scenariusze

Poniżej przedstawiono kilka sposobów używania tożsamości obciążeń.

Bezpieczny dostęp za pomocą zasad adaptacyjnych:

• Stosowanie zasad dostępu warunkowego do jednostek usługi należących do organizacji przy użyciu dostępu warunkowego dla tożsamości obciążeń.
• Włącz wymuszanie lokalizacji dostępu warunkowego i zasad ryzyka w czasie rzeczywistym przy użyciu ciągłej oceny dostępu dla tożsamości obciążeń.
• Zarządzanie niestandardowymi atrybutami zabezpieczeń dla aplikacji

Inteligentne wykrywanie tożsamości, których bezpieczeństwo jest naruszone:

• Wykrywanie zagrożeń (takich jak ujawnione poświadczenia) zawiera zagrożenia i zmniejsza ryzyko tożsamości obciążeń przy użyciu usługi Identity Protection.

Uproszczenie zarządzania cyklem życia:

• Uzyskaj dostęp do chronionych zasobów firmy Microsoft bez konieczności zarządzania wpisami tajnymi dla obciążeń uruchamianych na platformie Azure przy użyciu tożsamości zarządzanych.
• Uzyskaj dostęp do chronionych zasobów firmy Microsoft bez konieczności zarządzania wpisami tajnymi przy użyciu federacji tożsamości obciążenia w obsługiwanych scenariuszach, takich jak GitHub Actions, obciążenia uruchomione na platformie Kubernetes lub obciążenia działające na platformach obliczeniowych spoza platformy Azure.
• Przejrzyj jednostki usługi i aplikacje przypisane do ról katalogu uprzywilejowanego w usłudze Microsoft Entra ID, korzystając z przeglądów dostępu dla jednostek usługi.

Następne kroki

• Uzyskaj odpowiedzi na często zadawane pytania dotyczące tożsamości obciążeń.