Podawanie poświadczeń tożsamości aplikacji, gdy nie ma użytkownika
Gdy jako deweloper kompilujesz aplikacje inne niż użytkownicy, nie masz użytkownika, którego możesz monitować o podanie nazwy użytkownika i hasła lub uwierzytelniania wieloskładnikowego (MFA). Musisz podać tożsamość aplikacji samodzielnie. W tym artykule wyjaśniono, dlaczego najlepszym rozwiązaniem Zero Trust poświadczeń klienta dla usług (aplikacji innych niż użytkownicy) na platformie Azure są tożsamości zarządzane dla zasobów platformy Azure.
Problemy z kontami usług
Użycie "konta usługi" (tworzenie konta użytkownika i używanie go dla usługi) nie jest dobrym rozwiązaniem. Usługa Azure Active Directory (Azure AD) nie ma pojęcia konta usługi. Gdy administratorzy tworzą konta użytkowników dla usługi, a następnie udostępniają hasła deweloperom, jest to niezabezpieczone. Nie może być bez hasła ani mieć uwierzytelniania wieloskładnikowego. Zamiast używać konta użytkownika jako konta usługi, najlepszym rozwiązaniem jest użycie jednej z opcji poświadczeń klienta opisanych poniżej.
Opcje poświadczeń klienta
Istnieją cztery typy poświadczeń klienta, które mogą identyfikować aplikację.
- Klucz tajny
- Certyfikat
- Tożsamości zarządzane dla zasobów platformy Azure
- Poświadczenia federacyjne
Klucz tajny lub certyfikat?
Klucze tajne są dopuszczalne, gdy w przedsiębiorstwie istnieje zaawansowana infrastruktura zarządzania wpisami tajnymi (na przykład azure Key Vault). Jednak klucze tajne w scenariuszach, w których specjalista IT generuje klucz tajny, a następnie wiadomości e-mail do dewelopera, który następnie może przechowywać go w niezabezpieczonej lokalizacji, takiej jak arkusz kalkulacyjny, powoduje, że klucze tajne nie są prawidłowo chronione.
Poświadczenia klienta oparte na certyfikatach są bezpieczniejsze niż klucze tajne. Certyfikaty są lepiej zarządzane, ponieważ nie są wpisami tajnymi. Wpis tajny nie jest częścią transmisji. Gdy używasz klucza tajnego, klient wysyła rzeczywistą wartość klucza tajnego do Azure AD. W przypadku korzystania z certyfikatu klucz prywatny certyfikatu nigdy nie opuszcza urządzenia. Nawet jeśli ktoś przechwytuje, dekoduje i deszyfrowania transmisji, wpis tajny jest nadal bezpieczny, ponieważ osoba przechwytujący nie ma klucza prywatnego.
Najlepsze rozwiązanie: używanie tożsamości zarządzanych dla zasobów platformy Azure
Podczas tworzenia usług (aplikacji innych niż użytkownicy) na platformie Azure tożsamości zarządzane dla zasobów platformy Azure zapewniają automatycznie zarządzaną tożsamość w Azure AD. Aplikacja może uwierzytelniać się w dowolnej usłudze obsługującej uwierzytelnianie Azure AD bez zarządzania poświadczeniami. Nie musisz zarządzać wpisami tajnymi; nie trzeba zajmować się możliwością ich utraty lub błędnej obsługi. Nie można przechwycić wpisów tajnych, ponieważ nie są przenoszone przez sieć. Tożsamości zarządzane dla zasobów platformy Azure to najlepsze rozwiązanie w przypadku tworzenia usług na platformie Azure.
Następne kroki
- Obsługiwane typy tożsamości i kont dla aplikacji z jedną i wieloma dzierżawami wyjaśnia, jak można wybrać, czy aplikacja zezwala na dostęp tylko użytkownikom z dzierżawy usługi Azure Active Directory (Azure AD), dowolnej dzierżawie Azure AD lub użytkownikom z osobistymi kontami Microsoft.
- Opracowywanie strategii uprawnień aplikacji ułatwia podjęcie decyzji o podejściu uprawnień aplikacji do zarządzania poświadczeniami.
- Podanie poświadczeń tożsamości aplikacji, gdy nie ma użytkownika, wyjaśnia, dlaczego najlepszym rozwiązaniem Zero Trust poświadczeń klienta dla usług (aplikacji innych niż użytkownicy) na platformie Azure jest tożsamości zarządzane dla zasobów platformy Azure.
- Najlepsze rozwiązania dotyczące autoryzacji pomagają zaimplementować najlepsze modele autoryzacji, uprawnień i zgody dla aplikacji.
- Użyj najlepszych rozwiązań dotyczących tworzenia tożsamości i zarządzania dostępem Zero Trust w cyklu tworzenia aplikacji w celu utworzenia bezpiecznych aplikacji.
- Tworzenie aplikacji przy użyciu Zero Trust podejścia do tożsamości zapewnia przegląd uprawnień i najlepszych rozwiązań dotyczących dostępu.