Vad är arbetsbelastningsidentiteter?
En arbetsbelastningsidentitet är en identitet som du tilldelar till en programvaruarbetsbelastning (till exempel ett program, en tjänst, ett skript eller en container) för att autentisera och komma åt andra tjänster och resurser. Terminologin är inkonsekvent i hela branschen, men i allmänhet är en arbetsbelastningsidentitet något du behöver för att din programvaruentitet ska kunna autentisera med något system. För att GitHub Actions ska få åtkomst till Azure-prenumerationer behöver åtgärden till exempel en arbetsbelastningsidentitet som har åtkomst till dessa prenumerationer. En arbetsbelastningsidentitet kan också vara en AWS-tjänstroll som är kopplad till en EC2-instans med skrivskyddad åtkomst till en Amazon S3-bucket.
I Microsoft Entra är arbetsbelastningsidentiteter program, tjänstens huvudnamn och hanterade identiteter.
Ett program är en abstrakt entitet eller mall som definieras av dess programobjekt. Programobjektet är den globala representationen av ditt program för användning i alla klienter. Programobjektet beskriver hur token utfärdas, vilka resurser programmet behöver komma åt och vilka åtgärder programmet kan vidta.
Ett huvudnamn för tjänsten är den lokala representationen, eller programinstansen, av ett globalt programobjekt i en specifik klientorganisation. Ett programobjekt används som en mall för att skapa ett objekt för tjänstens huvudnamn i varje klient där programmet används. Objektet för tjänstens huvudnamn definierar vad appen faktiskt kan göra i en specifik klientorganisation, vem som kan komma åt appen och vilka resurser appen kan komma åt.
En hanterad identitet är en särskild typ av tjänstens huvudnamn som eliminerar behovet av att utvecklare hanterar autentiseringsuppgifter.
Här följer några sätt att använda arbetsbelastningsidentiteter i Microsoft Entra-ID:
- En app som gör det möjligt för en webbapp att komma åt Microsoft Graph baserat på administratörs- eller användarmedgivande. Den här åtkomsten kan vara antingen för användarens räkning eller för programmets räkning.
- En hanterad identitet som används av en utvecklare för att etablera sin tjänst med åtkomst till en Azure-resurs, till exempel Azure Key Vault eller Azure Storage.
- Ett huvudnamn för tjänsten som används av en utvecklare för att aktivera en CI/CD-pipeline för att distribuera en webbapp från GitHub till Azure App Service.
Arbetsbelastningsidentiteter, andra datoridentiteter och mänskliga identiteter
På hög nivå finns det två typer av identiteter: mänskliga identiteter och maskin-/icke-mänskliga identiteter. Arbetsbelastningsidentiteter och enhetsidentiteter utgör tillsammans en grupp som kallas datoridentiteter (eller icke-mänskliga) identiteter. Arbetsbelastningsidentiteter representerar programvaruarbetsbelastningar medan enhetsidentiteter representerar enheter som stationära datorer, mobila enheter, IoT-sensorer och IoT-hanterade enheter. Datoridentiteter skiljer sig från mänskliga identiteter, som representerar personer som anställda (interna arbetare och frontlinjearbetare) och externa användare (kunder, konsulter, leverantörer och partners).
Behov av att skydda arbetsbelastningsidentiteter
Fler och fler lösningar är beroende av icke-mänskliga entiteter för att slutföra viktiga uppgifter och antalet icke-mänskliga identiteter ökar dramatiskt. De senaste cyberattackerna visar att angripare i allt högre grad riktar in sig på icke-mänskliga identiteter över mänskliga identiteter.
Mänskliga användare har vanligtvis en enda identitet som används för att komma åt en mängd olika resurser. Till skillnad från en mänsklig användare kan en programvaruarbetsbelastning hantera flera autentiseringsuppgifter för att få åtkomst till olika resurser och dessa autentiseringsuppgifter måste lagras på ett säkert sätt. Det är också svårt att spåra när en arbetsbelastningsidentitet skapas eller när den ska återkallas. Företag riskerar att deras program eller tjänster utnyttjas eller överträds på grund av svårigheter att skydda arbetsbelastningsidentiteter.
De flesta lösningar för identitets- och åtkomsthantering på marknaden idag fokuserar bara på att skydda mänskliga identiteter och inte arbetsbelastningsidentiteter. Microsoft Entra-arbetsbelastnings-ID hjälper dig att lösa dessa problem när du skyddar arbetsbelastningsidentiteter.
Viktiga scenarier
Här följer några sätt att använda arbetsbelastningsidentiteter.
Säker åtkomst med anpassningsbara principer:
- Tillämpa principer för villkorsstyrd åtkomst på tjänstens huvudnamn som ägs av din organisation med hjälp av villkorlig åtkomst för arbetsbelastningsidentiteter.
- Aktivera realtidsframtvingande av plats- och riskprinciper för villkorsstyrd åtkomst med kontinuerlig åtkomstutvärdering för arbetsbelastningsidentiteter.
- Hantera anpassade säkerhetsattribut för en app
Identifiera komprometterade identiteter på ett intelligent sätt:
- Identifiera risker (till exempel läckta autentiseringsuppgifter), innehåller hot och minska risken för arbetsbelastningsidentiteter med hjälp av Microsoft Entra ID Protection.
Förenkla livscykelhanteringen:
- Få åtkomst till Microsoft Entra-skyddade resurser utan att behöva hantera hemligheter för arbetsbelastningar som körs i Azure med hjälp av hanterade identiteter.
- Få åtkomst till Microsoft Entra-skyddade resurser utan att behöva hantera hemligheter med hjälp av arbetsbelastningsidentitetsfederation för scenarier som stöds, till exempel GitHub Actions, arbetsbelastningar som körs på Kubernetes eller arbetsbelastningar som körs på beräkningsplattformar utanför Azure.
- Granska tjänstens huvudnamn och program som har tilldelats till privilegierade katalogroller i Microsoft Entra-ID med hjälp av åtkomstgranskningar för tjänstens huvudnamn.
Nästa steg
- Få svar på vanliga frågor om arbetsbelastningsidentiteter.