保护基于云的服务帐户
Microsoft Entra ID 本机自带三种类型的服务帐户:托管标识、服务主体和基于用户的服务帐户。 服务帐户是一种特殊类型的帐户,用于表示非人类实体,如应用程序、API 或其他服务。 这些实体在服务帐户提供的安全上下文中运行。
Microsoft Entra 服务帐户的类型
对于在 Azure 中托管的服务,如果可能,建议使用托管标识,否则使用服务主体。 托管标识不能用于 Azure 外部托管的服务。 在这种情况下,我们建议使用服务主体。 如果可以使用托管标识或服务主体,请使用。 建议不要将 Microsoft Entra 用户帐户用作服务帐户。 有关摘要的信息,请参阅下表。
服务托管 | 托管标识 | 服务主体 | Azure 用户帐户 |
---|---|---|---|
服务托管在 Azure 中。 | 是的。 建议(如果服务 支持托管标识)。 |
是的。 | 建议不要使用。 |
服务未托管在 Azure 中。 | 否 | 是。 推荐。 | 建议不要使用。 |
服务为多租户 | 否 | 是。 推荐。 | 不能。 |
托管标识
托管标识是为了提供 Azure 资源标识而创建的安全 Microsoft Entra 标识。 托管标识分为两种类型:
系统分配的托管标识可以直接分配给服务实例。
用户分配的托管标识可以作为独立的资源创建。
有关详细信息,请参阅保护托管标识。 有关托管标识的一般信息,请参阅什么是 Azure 资源的托管标识?
服务主体
如果你无法使用托管标识来表示你的应用程序,请使用服务主体。 服务主体可与单租户和多租户应用程序一起使用。
服务主体是单个 Microsoft Entra 租户中应用程序对象的本地表示形式。 它充当应用程序实例的标识,定义可访问应用程序的人员,以及应用程序可访问的资源。 服务主体是在使用应用程序的每个租户中(本地)创建的,会引用全局唯一的应用程序对象。 租户保护服务主体的登录和对资源的访问。
使用服务主体的身份验证有两种机制:客户端证书和客户端机密。 证书更安全:如果可能,请使用客户端证书。 与客户端机密不同,客户端证书不能被意外嵌入代码中。
有关保护服务主体的信息,请参阅保护服务主体。
后续步骤
有关保护 Azure 服务帐户的详细信息,请参阅: