Защита облачных учетных записей служб
Существует три типа учетных записей служб, собственных идентификатору Microsoft Entra: управляемые удостоверения, субъекты-службы и учетные записи службы на основе пользователей. Учетные записи служб — это особый тип учетных записей, которые представляют сущности, не относящиеся к человеку, например, приложение, API или другая служба. Такие сущности работают в контексте безопасности, предоставляемом учетной записью службы.
Типы учетных записей службы Microsoft Entra
Для размещенных в Azure служб рекомендуется использовать управляемое удостоверение, если оно доступно, а если недоступно, то субъект-службу. Управляемые удостоверения нельзя использовать для служб, размещенных за пределами Azure. В этом случае мы рекомендуем использовать субъект-службу. Если вам доступно управляемое удостоверение или субъект-служба, используйте их. Рекомендуется не использовать учетную запись пользователя Microsoft Entra в качестве учетной записи службы. Сводку см. в приведенной ниже таблице.
| Размещение службы | Управляемое удостоверение | Субъект-служба | Учетная запись Azure |
|---|---|---|---|
| Служба размещается в Azure. | Да. Рекомендуется, если служба поддерживает управляемое удостоверение. |
Да. | Не рекомендуется. |
| Служба не размещается в Azure. | No | Да. Рекомендуется. | Не рекомендуется. |
| Служба поддерживает несколько клиентов | No | Да. Рекомендуется. | № |
Управляемые удостоверения
Управляемые удостоверения — это защищенные удостоверения Microsoft Entra, созданные для предоставления удостоверений для ресурсов Azure. Существует два типа управляемых удостоверений:
Назначенные системой управляемые удостоверения можно назначать непосредственно экземпляру службы.
Назначаемое пользователем управляемое удостоверение можно создавать как автономный ресурс.
Дополнительные сведения см. в статье Защита управляемых удостоверений. Общие сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure?
Субъекты-службы
Если вы не можете использовать управляемое удостоверение для представления приложения, используйте субъект-службу. Субъект-службы можно использовать для приложений с поддержкой одного или нескольких клиентов.
Субъект-служба — это локальное представление объекта приложения в одном клиенте Microsoft Entra. Она выполняет функцию удостоверения экземпляра приложения, определяет, у кого есть доступ к приложению, а также какие ресурсы доступны приложению. Субъект-служба создается в каждом клиенте (локально), где используется приложение, и ссылается на глобальный уникальный объект приложения. Клиент защищает вход субъекта-службы и доступ к ресурсам.
Существует два механизма проверки подлинности с помощью субъект-служб: сертификаты клиента и секреты клиента. По возможности используйте сертификаты клиентов, так как они более безопасны. В отличие от секретов клиента, сертификаты клиентов невозможно случайно внедрить в код.
Для получения информации о защите субъектов-служб см. Защита субъектов-служб.
Следующие шаги
Дополнительную информацию об учетных записях служб Azure см. в статьях: