Alkalmazásidentitás hitelesítő adatainak megadása, ha nincs felhasználó

Ha Fejlesztőként nem felhasználói alkalmazásokat készít, nincs olyan felhasználója, akitől felhasználónevet és jelszót vagy többtényezős hitelesítést (MFA) kérhet. Az alkalmazás identitását önállóan kell megadnia. Ez a cikk azt ismerteti, hogy az Azure-beli szolgáltatások (nem felhasználói alkalmazások) esetében a legjobb Teljes felügyelet ügyfél-hitelesítő adatok az Azure-erőforrások felügyelt identitásai.

Szolgáltatásfiókokkal kapcsolatos problémák

A "szolgáltatásfiók" használata, ahol létrehoz egy felhasználói fiókot, és azt egy szolgáltatáshoz használja, nem jó megoldás, mert az Azure Active Directory (Azure AD) nem rendelkezik szolgáltatásfiók-fogalmaval. Amikor a rendszergazdák létrehoznak egy felhasználói fiókot egy szolgáltatáshoz, majd megosztják a jelszót egy fejlesztővel, az nem biztonságos, mert nem lehet jelszó nélküli, és nem rendelkezhet MFA-val. A felhasználói fiók szolgáltatásfiókként való használata helyett a legjobb megoldás az alábbiakban ismertetett ügyfél-hitelesítő adatok egyikének használata.

Ügyfél-hitelesítő adatok beállításai

Az ügyfél-hitelesítő adatoknak négy típusa van, amelyek képesek azonosítani az alkalmazásokat.

  • Titkos kulcs
  • Tanúsítvány
  • Felügyelt identitás az Azure-hoz
  • Összevont hitelesítő adatok

Titkos kulcs vagy tanúsítvány?

A titkos kulcsok akkor fogadhatóak el, ha a vállalat kifinomult titkoskód-kezelési infrastruktúrával rendelkezik. A titkos kulcsok azonban olyan esetekben, amikor az informatikai szakember létrehoz egy titkos kulcsot, majd e-mailben elküldi azt egy fejlesztőnek, aki ezután nem biztonságos helyen, például egy számolótáblában tárolja, a titkos kulcsok nem lesznek megfelelően védve.

A tanúsítványalapú ügyfél-hitelesítő adatok biztonságosabbak, mint a titkos kulcsok. A tanúsítványok jobban kezelhetők, mivel nem maguk a titkos kódok. A titok nem része az átvitelnek. Titkos kulcs használatakor az ügyfél elküldi a titkos kulcs tényleges értékét Azure AD. Tanúsítvány használatakor a tanúsítvány titkos kulcsa soha nem hagyja el az eszközt. Még ha valaki elfogja, dekódolja és titkosítja is az átvitelt, a titkos kód továbbra is biztonságos, mert az elfogó fél nem rendelkezik a titkos kulccsal.

Ajánlott eljárás: Felügyelt identitások használata az Azure-erőforrásokhoz

Amikor szolgáltatásokat (nem felhasználói alkalmazásokat) fejleszt az Azure-ban, az Azure-erőforrások felügyelt identitásai automatikusan felügyelt identitást biztosítanak Azure AD. Az alkalmazás a hitelesítő adatok kezelése nélkül bármely olyan szolgáltatásban végezhet hitelesítést, amely támogatja Azure AD hitelesítést. Nem kell titkos kulcsokat kezelnie; nem kell foglalkoznia azzal a lehetőséggel, hogy elveszíti vagy helytelenül kezeli őket. A titkos kulcsokat nem lehet elfogni, mert nem mozognak a hálózaton. Az Azure-erőforrások felügyelt identitásai az ajánlott eljárás, ha szolgáltatásokat épít az Azure-ban.

Következő lépések