Proteger contas de serviço baseadas na nuvem
Há três tipos de contas de serviço nativas do Microsoft Entra ID: identidades gerenciadas, entidades de serviço e contas de serviço baseadas no usuário. As contas de serviço são um tipo especial de conta que se destina a representar uma entidade não humana, como um aplicativo, API ou outro serviço. Essas entidades operam dentro do contexto de segurança fornecido pela conta de serviço.
Tipos de contas de serviço do Microsoft Entra
Para serviços hospedados no Azure, recomendamos usar uma identidade gerenciada, se possível, e uma entidade de serviço, se não. As identidades gerenciadas não podem ser usadas para serviços hospedados fora do Azure. Nesse caso, recomendamos uma entidade de serviço. Se você puder usar uma identidade gerenciada ou uma entidade de serviço, faça isso. Recomendamos que você não use uma conta de usuário do Microsoft Entra como uma conta de serviço. Consulte a tabela a seguir para obter um resumo.
| Serviço de alojamento | Identidade gerida | Service principal (Principal de serviço) | Conta de usuário do Azure |
|---|---|---|---|
| O serviço está hospedado no Azure. | Sim. Recomendado se o serviço suporta uma Identidade Gerenciada. |
Sim. | Não recomendado. |
| O serviço não está hospedado no Azure. | Não | Sim. Recomendado. | Não recomendado. |
| O serviço é multilocatário | Não | Sim. Recomendado. | Não |
Identidades geridas
As identidades gerenciadas são identidades seguras do Microsoft Entra criadas para fornecer identidades para recursos do Azure. Existem dois tipos de identidades gerenciadas:
As identidades gerenciadas atribuídas pelo sistema podem ser atribuídas diretamente a uma instância de um serviço.
As identidades gerenciadas atribuídas pelo usuário podem ser criadas como um recurso autônomo.
Para obter mais informações, consulte Protegendo identidades gerenciadas. Para obter informações gerais sobre identidades gerenciadas, consulte O que são identidades gerenciadas para recursos do Azure?
Principais de serviço
Se você não puder usar uma identidade gerenciada para representar seu aplicativo, use uma entidade de serviço. As entidades de serviço podem ser usadas com aplicativos de locatário único e multilocatário.
Uma entidade de serviço é a representação local de um objeto de aplicativo em um único locatário do Microsoft Entra. Ele funciona como a identidade da instância do aplicativo, define quem pode acessar o aplicativo e quais recursos o aplicativo pode acessar. Uma entidade de serviço é criada em (local para) cada locatário onde o aplicativo é usado e faz referência ao objeto de aplicativo globalmente exclusivo. O locatário protege a entrada e o acesso da entidade de serviço aos recursos.
Há dois mecanismos de autenticação usando entidades de serviço: certificados de cliente e segredos de cliente. Os certificados são mais seguros: use certificados de cliente, se possível. Ao contrário dos segredos do cliente, os certificados de cliente não podem ser incorporados acidentalmente no código.
Para obter informações sobre como proteger entidades de serviço, consulte Protegendo entidades de serviço.
Próximos passos
Para obter mais informações sobre como proteger contas de serviço do Azure, consulte:
Protegendo identidades gerenciadas