Kullanıcı olmadığında uygulama kimliği kimlik bilgilerini sağlayın

Geliştirici olarak kullanıcı olmayan uygulamalar oluştururken, kullanıcı adı ve parola veya Çok Faktörlü Kimlik Doğrulaması (MFA) sorabileceğiniz bir kullanıcınız yoktur. Uygulamanın kimliğini kendi başına sağlamanız gerekir. Bu makalede Azure'da hizmetler (kullanıcı olmayan uygulamalar) için en iyi Sıfır Güven istemci kimlik bilgileri uygulamasının neden Azure kaynakları için Yönetilen Kimlikler olduğu açıklanmaktadır.

Hizmet hesaplarıyla ilgili sorunlar

"Hizmet hesabı" kullanmak (kullanıcı hesabı oluşturmak ve bir hizmet için kullanmak) iyi bir çözüm değildir. Microsoft Entra Id'nin bir hizmet hesabı kavramı yoktur. Yöneticiler bir hizmet için kullanıcı hesapları oluşturduğunda ve ardından parolaları geliştiricilerle paylaştığında güvenli değildir. Parolasız veya MFA'sı olamaz. Hizmet hesabı olarak bir kullanıcı hesabı kullanmak yerine en iyi çözümünüz aşağıdaki istemci kimlik bilgileri seçeneklerinden birini kullanmaktır.

İstemci kimlik bilgisi seçenekleri

Bir uygulamayı tanımlayabilen dört tür istemci kimlik bilgisi vardır.

• Gizli anahtar
• Sertifika
• Azure kaynakları için Yönetilen Kimlikler
• Federasyon Kimlik Bilgileri

Gizli anahtar mı yoksa sertifika mı?

Kuruluşunuzda gelişmiş bir gizli dizi yönetimi altyapınız (Azure Key Vault gibi) olduğunda gizli anahtarlar kabul edilebilir. Ancak, BT Uzmanı'nın bir gizli anahtar oluşturduğu ve ardından bunu elektronik tablo gibi güvenli olmayan bir konumda depolayan bir geliştiriciye e-posta ile göndermesi durumunda gizli anahtarlar düzgün korunmaz.

Sertifika tabanlı istemci kimlik bilgileri gizli anahtarlardan daha güvenlidir. Gizli dizi olmadığı için sertifikalar daha iyi yönetilir. Gizli dizi bir iletinin parçası değil. Gizli anahtar kullandığınızda, istemciniz gizli anahtarın gerçek değerini Microsoft Entra Kimliği'ne gönderir. Sertifika kullandığınızda, sertifikanın özel anahtarı hiçbir zaman cihazdan ayrılmaz. Birisi iletimi kesse, şifresini çözse ve şifrelerini çözse bile, araya müdahale eden tarafın özel anahtarı olmadığından gizli dizi hala güvenlidir.

En iyi yöntem: Azure Kaynakları için Yönetilen Kimlikleri kullanma

Azure'da hizmetler (kullanıcısız uygulamalar) geliştirirken, Azure Kaynakları için Yönetilen Kimlikler Microsoft Entra Id'de otomatik olarak yönetilen bir kimlik sağlar. Uygulama, kimlik bilgilerini yönetmeden Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapabilir. Gizli dizileri yönetmeniz gerekmez; kaybetme veya yanlış yönlendirme olasılığını ele almanız gerekmez. Gizli diziler ağ üzerinde hareket etmediğinden araya girilemiyor. Azure'da hizmet oluşturuyorsanız Azure kaynakları için Yönetilen Kimlikler en iyi yöntemdir.

Sonraki adımlar

• Tek ve çok kiracılı uygulamalar için desteklenen kimlik ve hesap türleri, uygulamanızın yalnızca Microsoft Entra kiracınızdaki, herhangi bir Microsoft Entra kiracınızdaki veya kişisel Microsoft hesabı olan kullanıcılara izin vermeyi nasıl seçebileceğinizi açıklar.
• Uygulama izinleri stratejisi geliştirme , kimlik bilgileri yönetimine yönelik uygulama izinleri yaklaşımınıza karar vermenize yardımcı olur.
• Azure kaynakları için Yönetilen Kimlikler'in Azure'da hizmetler (kullanıcı olmayan uygulamalar) için en iyi istemci kimlik bilgileri uygulaması olduğunu açıklayan kullanıcı olmadığında uygulama kimliği kimlik bilgilerini sağlayın.
• Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
• Güvenli uygulamalar oluşturmak için uygulama geliştirme yaşam döngünüzde Sıfır Güven kimlik ve erişim yönetimi geliştirme en iyi yöntemlerini kullanın.
• Kimlik için Sıfır Güven bir yaklaşımla uygulama oluşturmak, izinlere ve erişime yönelik en iyi yöntemlere genel bir bakış sağlar.