Compartilhar via


Protegendo contas de serviço baseadas em nuvem

Há três tipos de contas de serviço nativas para o Microsoft Entra ID: contas de serviço baseadas em usuário, de identidades gerenciadas e de entidades de serviços. As contas de serviço são um tipo especial de conta que pretende representar uma entidade não humana, como um aplicativo, uma API ou outro serviço. Essas entidades operam dentro do contexto de segurança fornecido pela conta de serviço.

Tipos de contas de serviço do Microsoft Entra

Para serviços hospedados no Azure, é recomendável usar uma identidade gerenciada, se possível, e, se não houver, uma entidade de serviço. As identidades gerenciadas não podem ser usadas em serviços hospedados fora do Azure. Nesse caso, recomendamos uma entidade de serviço. Se você puder usar uma identidade gerenciada ou uma entidade de serviço, faça isso. Recomendamos que você não use uma conta de usuário do Microsoft Entra como uma conta de serviço. Confira a tabela a seguir para obter um resumo.

Hospedagem do serviço Identidade gerenciada Entidade de serviço Conta de usuário do Azure
O serviço está hospedado no Azure. Sim.
Recomendado se o serviço
for compatível com uma Identidade Gerenciada.
Sim. Não recomendado.
O serviço não está hospedado no Azure. Não Sim. Recomendável. Não recomendado.
O serviço é multilocatários Não Sim. Recomendável. Não.

Identidades gerenciadas

As identidades gerenciadas são identidades seguras do Microsoft Entra criadas para fornecer identidades para recursos do Azure. Há dois tipos de identidades gerenciadas:

  • As identidades gerenciadas atribuídas pelo sistema podem ser atribuídas diretamente a uma instância de um serviço.

  • Uma identidade gerenciada atribuída pelo usuário pode ser criada como um recurso autônomo.

Para saber mais, confira Protegendo identidades gerenciadas. Para obter informações gerais sobre identidades gerenciadas, confira O que são identidades gerenciadas para recursos do Azure?

Entidades de serviço

Se você não puder usar uma identidade gerenciada para representar seu aplicativo, use uma entidade de serviço. As entidades de serviço podem ser usadas com aplicativos de locatário único e multilocatários.

Uma entidade de serviço é a representação local de um objeto de aplicativo em um locatário único do Microsoft Entra. Ela funciona como a identidade da instância do aplicativo, define quem pode acessar o aplicativo e quais recursos o aplicativo pode acessar. Uma entidade de serviço é criada em (local para) cada locatário em que o aplicativo é usado e faz referência ao objeto de aplicativo exclusivo globalmente. O locatário protege a credencial da entidade de serviço e o acesso aos recursos.

Há dois mecanismos para autenticação usando entidades de serviço — certificados e segredos de cliente. Os certificados são mais seguros: use certificados de cliente, se possível. Ao contrário dos segredos do cliente, os certificados de cliente não podem ser inseridos acidentalmente no código.

Para obter informações sobre como proteger entidades de serviço, confira Protegendo entidades de serviço.

Próximas etapas

Para saber mais sobre como proteger as contas de serviço do Azure, confira:

Proteção de identidades gerenciadas

Proteção de entidades de serviço

Administração de contas de serviço do Azure