O que são identidades de carga de trabalho?

Uma identidade de carga de trabalho é uma identidade que você atribui a uma carga de trabalho de software (como um aplicativo, serviço, script ou contêiner) para autenticar e acessar outros serviços e recursos. A terminologia é inconsistente em todo o setor, mas geralmente uma identidade de carga de trabalho é algo que você precisa para que sua entidade de software se autentique em algum sistema. Por exemplo, para que as Ações do GitHub acessem assinaturas do Azure, a ação precisa de uma identidade de carga de trabalho que tenha acesso a essas assinaturas. Uma identidade de carga de trabalho também pode ser uma função de serviço da AWS anexada a uma instância do EC2 com acesso somente leitura a um bucket do Amazon S3.

No Microsoft Entra, as identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas.

Um aplicativo é uma entidade abstrata, ou modelo, definido por seu objeto de aplicativo. O objeto de aplicativo é a representação global do seu aplicativo para uso em todos os locatários. O objeto de aplicativo descreve como os tokens são emitidos, os recursos que o aplicativo precisa acessar e as ações que o aplicativo pode executar.

Uma entidade de serviço é a representação local , ou instância de aplicativo, de um objeto de aplicativo global em um locatário específico. Um objeto de aplicativo é usado como um modelo para criar um objeto principal de serviço em cada locatário onde o aplicativo é usado. O objeto principal de serviço define o que o aplicativo pode realmente fazer em um locatário específico, quem pode acessar o aplicativo e quais recursos o aplicativo pode acessar.

Uma identidade gerenciada é um tipo especial de entidade de serviço que elimina a necessidade de os desenvolvedores gerenciarem credenciais.

Aqui estão algumas maneiras pelas quais as identidades de carga de trabalho no Microsoft Entra ID são usadas:

• Um aplicativo que permite que um aplicativo Web acesse o Microsoft Graph com base no consentimento do administrador ou do usuário. Esse acesso pode ser feito em nome do usuário ou em nome do aplicativo.
• Uma identidade gerenciada usada por um desenvolvedor para provisionar seu serviço com acesso a um recurso do Azure, como o Azure Key Vault ou o Armazenamento do Azure.
• Uma entidade de serviço usada por um desenvolvedor para habilitar um pipeline de CI/CD para implantar um aplicativo Web do GitHub no Serviço de Aplicativo do Azure.

Identidades de carga de trabalho, outras identidades de máquina e identidades humanas

A um nível elevado, existem dois tipos de identidades: as identidades humanas e as identidades máquina/não humanas. As identidades de carga de trabalho e as identidades de dispositivo juntas formam um grupo chamado identidades de máquina (ou não humanas). As identidades de carga de trabalho representam cargas de trabalho de software, enquanto as identidades de dispositivo representam dispositivos como computadores desktop, dispositivos móveis, sensores IoT e dispositivos gerenciados por IoT. As identidades de máquina são distintas das identidades humanas, que representam pessoas como funcionários (trabalhadores internos e trabalhadores da linha de frente) e usuários externos (clientes, consultores, fornecedores e parceiros).

Necessidade de proteger identidades de carga de trabalho

Cada vez mais, as soluções dependem de entidades não humanas para completar tarefas vitais e o número de identidades não humanas está a aumentar drasticamente. Os recentes ciberataques mostram que os adversários visam cada vez mais as identidades não humanas em detrimento das identidades humanas.

Os usuários humanos normalmente têm uma única identidade usada para acessar uma ampla gama de recursos. Ao contrário de um usuário humano, uma carga de trabalho de software pode lidar com várias credenciais para acessar recursos diferentes e essas credenciais precisam ser armazenadas com segurança. Também é difícil controlar quando uma identidade de carga de trabalho é criada ou quando ela deve ser revogada. As empresas correm o risco de seus aplicativos ou serviços serem explorados ou violados devido a dificuldades em proteger identidades de carga de trabalho.

A maioria das soluções de gerenciamento de identidade e acesso no mercado atualmente está focada apenas em proteger identidades humanas e não identidades de carga de trabalho. O Microsoft Entra Workload ID ajuda a resolver esses problemas ao proteger identidades de carga de trabalho.

Cenários principais

Aqui estão algumas maneiras de usar identidades de carga de trabalho.

Acesso seguro com políticas adaptáveis:

• Aplique políticas de Acesso Condicional a entidades de serviço pertencentes à sua organização usando o Acesso Condicional para identidades de carga de trabalho.
• Habilite a imposição em tempo real de políticas de local e risco de Acesso Condicional usando a avaliação de acesso contínuo para identidades de carga de trabalho.
• Gerenciar atributos de segurança personalizados para um aplicativo

Detete identidades comprometidas de forma inteligente:

• Detete riscos (como credenciais vazadas), contenha ameaças e reduza o risco para identidades de carga de trabalho usando a Proteção de Identidade.

Simplifique o gerenciamento do ciclo de vida:

• Acesse recursos protegidos do Microsoft Entra sem precisar gerenciar segredos para cargas de trabalho executadas no Azure usando identidades gerenciadas.
• Acesse recursos protegidos do Microsoft Entra sem precisar gerenciar segredos usando a federação de identidades de carga de trabalho para cenários suportados, como Ações do GitHub, cargas de trabalho em execução no Kubernetes ou cargas de trabalho em execução em plataformas de computação fora do Azure.
• Analise entidades de serviço e aplicativos atribuídos a funções de diretório privilegiadas no Microsoft Entra ID usando revisões de acesso para entidades de serviço.

Próximos passos

• Obtenha respostas para perguntas frequentes sobre identidades de carga de trabalho.