Säker åtkomst för arbetsbelastningsidentiteter

  • 5 minuter

En arbetsbelastningsidentitet är en identitet som används av en programvaruarbetsbelastning (till exempel ett program, en tjänst, ett skript eller en container) för att autentisera och komma åt andra tjänster och resurser. Terminologin är inkonsekvent i hela branschen, men i allmänhet är en arbetsbelastningsidentitet något du behöver för att din programvaruentitet ska kunna autentisera med något system. En arbetsbelastningsidentitet kan till exempel vara ett användarkonto som klienten autentiserar för att få åtkomst till en MongoDB-databas. En arbetslastidentitet kan också vara en AWS-tjänstroll som är kopplad till en EC2-instans med endast läsåtkomst till en Amazon S3-hink.

I Microsoft Entra ID är arbetsbördsidentiteter applikationer, tjänsthuvudmän och hanterade identiteter.

Ett program är en abstrakt entitet eller mall som definieras av dess programobjekt. Programobjektet är den globala representationen av ditt program för användning i alla klienter. Programobjektet beskriver hur token utfärdas, vilka resurser programmet behöver komma åt och vilka åtgärder programmet kan vidta.

En tjänsteprincipal är den lokala representationen, eller programinstansen, av ett globalt programobjekt i en specifik tenant. Ett programobjekt används som en mall för att skapa ett tjänstehuvudobjekt i varje klient där programmet används. Objektet för tjänstens huvudnamn definierar vad appen faktiskt kan göra i en specifik klientorganisation, vem som kan komma åt appen och vilka resurser appen kan komma åt.

En hanterad identitet är en särskild typ av service principal som eliminerar behovet av att utvecklare hantera autentiseringsuppgifter.

Här följer några sätt att använda arbetsbelastningsidentiteter i Microsoft Entra-ID:

  • En app som gör det möjligt för en webbapp att komma åt Microsoft Graph baserat på administratörs- eller användarmedgivande. Den här åtkomsten kan vara antingen för användarens räkning eller för programmets räkning.
  • En hanterad identitet som används av en utvecklare för att etablera sin tjänst med åtkomst till en Azure-resurs, till exempel Azure Key Vault eller Azure Storage.
  • Ett huvudnamn för tjänsten som används av en utvecklare för att aktivera en CI/CD-pipeline för att distribuera en webbapp från GitHub till Azure App Service.

Arbetsbelastningsidentiteter, andra datoridentiteter och mänskliga identiteter

På hög nivå finns det två typer av identiteter: mänskliga identiteter och maskin-/icke-mänskliga identiteter. Arbetsbelastningsidentiteter och enhetsidentiteter utgör tillsammans en grupp som kallas datoridentiteter (eller icke-mänskliga) identiteter. Arbetsbelastningsidentiteter representerar programvaruarbetsbelastningar medan enhetsidentiteter representerar enheter som stationära datorer, mobila enheter, IoT-sensorer och IoT-hanterade enheter. Datoridentiteter skiljer sig från mänskliga identiteter, som representerar personer som anställda (interna arbetare och frontlinjearbetare) och externa användare (kunder, konsulter, leverantörer och partners).

Diagram som visar olika typer av dator- och mänskliga identiteter.

Scenarier som stöds

Här följer några sätt att använda arbetsbelastningsidentiteter:

  • Få åtkomst till Microsoft Entra ID-skyddade resurser utan att behöva hantera hemligheter för arbetsbelastningar som körs i Azure med hjälp av hanterad identitet.
  • Få åtkomst till Microsoft Entra ID-skyddade resurser utan att behöva hantera hemligheter för scenarier som stöds, till exempel GitHub Actions, arbetsbelastningar som körs på Kubernetes eller arbetsbelastningar som körs på beräkningsplattformar utanför Azure med hjälp av arbetsbelastningsidentitetsfederation.
  • Granska tjänstens huvudenheter och program som har tilldelats privilegierade katalogroller i Microsoft Entra-ID med hjälp av åtkomstgranskningar för tjänstens huvudenheter.
  • Tillämpa principer för villkorsstyrd åtkomst på tjänsteprincipaler som ägs av din organisation med hjälp av villkorsstyrd åtkomst för arbetsbelastningsidentiteter samt kontinuerlig åtkomstutvärdering för arbetsbelastningsidentiteter.
  • Skydda arbetsbelastningsidentiteter med Identity Protection.