Zabezpieczanie tożsamości zarządzanych w identyfikatorze Entra firmy Microsoft

Artykuł
10/24/2023

W tym artykule dowiesz się, jak zarządzać wpisami tajnymi i poświadczeniami w celu zabezpieczenia komunikacji między usługami. Tożsamości zarządzane zapewniają automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID. Aplikacje używają tożsamości zarządzanych do łączenia się z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra i uzyskiwania tokenów firmy Microsoft entra bez zarządzania poświadczeniami.

Korzyści z tożsamości zarządzanych

Zalety korzystania z tożsamości zarządzanych:

Dzięki tożsamościom zarządzanym poświadczenia są w pełni zarządzane, obracane i chronione przez platformę Azure. Tożsamości są udostępniane i usuwane z zasobów platformy Azure. Tożsamości zarządzane umożliwiają zasobom platformy Azure komunikowanie się z usługami obsługującymi uwierzytelnianie firmy Microsoft Entra.
Nikt, w tym przypisane role uprzywilejowane, nie ma dostępu do poświadczeń, które nie mogą zostać przypadkowo ujawnione przez dołączenie do kodu.

Korzystanie z tożsamości zarządzanych

Tożsamości zarządzane najlepiej nadają się do komunikacji między usługami obsługującymi uwierzytelnianie firmy Microsoft Entra. System źródłowy żąda dostępu do usługi docelowej. Każdy zasób platformy Azure może być systemem źródłowym. Na przykład maszyna wirtualna platformy Azure, wystąpienie funkcji platformy Azure i wystąpienia usługi aplikacja systemu Azure Services obsługują tożsamości zarządzane.

Dowiedz się więcej w filmie wideo Co może być używana tożsamość zarządzana?

Uwierzytelnianie i autoryzacja

Dzięki tożsamościom zarządzanym system źródłowy uzyskuje token z identyfikatora Entra firmy Microsoft bez zarządzania poświadczeniami właściciela. Platforma Azure zarządza poświadczeniami. Tokeny uzyskane przez system źródłowy są prezentowane systemowi docelowemu na potrzeby uwierzytelniania.

System docelowy uwierzytelnia się i autoryzuje system źródłowy, aby zezwolić na dostęp. Jeśli usługa docelowa obsługuje uwierzytelnianie Firmy Microsoft Entra, akceptuje token dostępu wystawiony przez identyfikator Entra firmy Microsoft.

Platforma Azure ma płaszczyznę sterowania i płaszczyznę danych. Zasoby są tworzone na płaszczyźnie sterowania i uzyskujesz do nich dostęp w płaszczyźnie danych. Na przykład utworzysz bazę danych usługi Azure Cosmos DB na płaszczyźnie sterowania, ale wykonasz zapytanie względem niej na płaszczyźnie danych.

Po zaakceptowaniu tokenu na potrzeby uwierzytelniania system docelowy obsługuje mechanizmy autoryzacji dla płaszczyzny sterowania i płaszczyzny danych.

Operacje płaszczyzny sterowania platformy Azure są zarządzane przez usługę Azure Resource Manager i używają kontroli dostępu opartej na rolach (RBAC) platformy Azure. W płaszczyźnie danych systemy docelowe mają mechanizmy autoryzacji. Usługa Azure Storage obsługuje kontrolę dostępu opartą na rolach platformy Azure na płaszczyźnie danych. Na przykład aplikacje korzystające z usług aplikacja systemu Azure Services mogą odczytywać dane z usługi Azure Storage, a aplikacje korzystające z usługi Azure Kubernetes Service mogą odczytywać wpisy tajne przechowywane w usłudze Azure Key Vault.

Więcej informacji:

Tożsamości zarządzane przypisane przez system i przypisane przez użytkownika

Istnieją dwa typy tożsamości zarządzanych, przypisane przez system i użytkownika.

Tożsamość zarządzana przypisana przez system:

Relacja jeden do jednego z zasobem platformy Azure
- Na przykład istnieje unikatowa tożsamość zarządzana skojarzona z każdą maszyną wirtualną
Powiązane z cyklem życia zasobów platformy Azure. Po usunięciu zasobu skojarzona z nim tożsamość zarządzana zostanie automatycznie usunięta.
Ta akcja eliminuje ryzyko związane z kontami oddzielonymi

Tożsamość zarządzana przypisana przez użytkownika

Cykl życia jest niezależny od zasobu platformy Azure. Cykl życia jest zarządzany.
- Po usunięciu zasobu platformy Azure przypisana przez użytkownika tożsamość zarządzana nie zostanie automatycznie usunięta
Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika do zera lub większej liczby zasobów platformy Azure
Utwórz tożsamość przed upływem czasu, a następnie przypisz ją do zasobu później

Znajdowanie jednostek usługi tożsamości zarządzanej w identyfikatorze Entra firmy Microsoft

Aby znaleźć tożsamości zarządzane, możesz użyć:

Strona Aplikacje dla przedsiębiorstw w witrynie Azure Portal
Microsoft Graph

Azure Portal

W witrynie Azure Portal w obszarze nawigacji po lewej stronie wybierz pozycję Microsoft Entra ID.
W obszarze nawigacji po lewej stronie wybierz pozycję Aplikacje dla przedsiębiorstw.
W kolumnie Typ aplikacji w obszarze Wartość wybierz strzałkę w dół, aby wybrać pozycję Tożsamości zarządzane.

Microsoft Graph

Użyj następującego żądania GET do programu Microsoft Graph, aby uzyskać listę tożsamości zarządzanych w dzierżawie.

https://graph.microsoft.com/v1.0/servicePrincipals?$filter=(servicePrincipalType eq 'ManagedIdentity')

Możesz filtrować te żądania. Aby uzyskać więcej informacji, zobacz GET servicePrincipal.

Ocena zabezpieczeń tożsamości zarządzanej

Aby ocenić zabezpieczenia tożsamości zarządzanej:

Sprawdź uprawnienia, aby upewnić się, że wybrano model o najniższych uprawnieniach
- Użyj następującego polecenia cmdlet programu Microsoft Graph, aby uzyskać uprawnienia przypisane do tożsamości zarządzanych:
Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId <String>
Upewnij się, że tożsamość zarządzana nie jest częścią grupy uprzywilejowanej, takiej jak grupa administratorów.
- Aby wyliczyć członków grup z wysokimi uprawnieniami za pomocą programu Microsoft Graph:
Get-MgGroupMember -GroupId <String> [-All <Boolean>] [-Top <Int32>] [<CommonParameters>]

Przenoszenie do tożsamości zarządzanych

Jeśli używasz jednostki usługi lub konta użytkownika Microsoft Entra, oceń użycie tożsamości zarządzanych. Można wyeliminować konieczność ochrony, rotacji i zarządzania poświadczeniami.

Następne kroki

Konta usług

Udostępnij za pośrednictwem