Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando, come sviluppatore, si sviluppano applicazioni senza interfaccia utente, non si ha un utente a cui è possibile richiedere un nome utente e una password o l'autenticazione a più fattori. È necessario fornire l'identità dell'applicazione autonomamente. Questo articolo spiega perché la procedura migliore per le credenziali client Zero Trust per i servizi (applicazioni non utente) in Azure è Identità gestite per le risorse di Azure.
Problemi con gli account di servizio
L'uso di un account del servizio (uso di un account utente per un servizio) non è una soluzione valida. Microsoft Entra ID non ha un concetto di account del servizio. Quando gli amministratori creano account utente per i servizi e quindi condividono password con gli sviluppatori, non è sicuro. Non può essere senza password o avere un'autenticazione a più fattori. Invece di usare un account utente come account del servizio, la soluzione migliore consiste nell'usare una delle opzioni di credenziali client seguenti.
Opzioni delle credenziali client
Esistono quattro tipi di credenziali client che possono identificare un'applicazione.
- Chiave privata
- Certificato
- Identità gestite per le risorse di Azure
- Credenziali federate
Chiave privata o certificato?
Le chiavi segrete sono accettabili in infrastrutture sofisticate di gestione dei segreti, ad esempio Azure Key Vault. Tuttavia, non è possibile proteggere correttamente le chiavi segrete negli scenari in cui il professionista IT genera una chiave privata e quindi invia un messaggio di posta elettronica a uno sviluppatore.
Le credenziali client basate su certificati sono più sicure rispetto alle chiavi segrete. È possibile gestire meglio i certificati perché non sono il segreto stesso. Il segreto non fa parte di una trasmissione. Quando si usa una chiave privata, il client invia il valore effettivo della chiave privata all'ID Microsoft Entra. Quando si usa un certificato, la chiave privata del certificato non lascia mai il dispositivo. Anche se qualcuno intercetta, decodifica e decrittografa la trasmissione, il segreto è ancora sicuro perché la parte di intercettazione non ha la chiave privata.
Procedura consigliata: usare identità gestite per le risorse di Azure
Quando si sviluppano servizi (applicazioni non utente) in Azure, le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente in Microsoft Entra ID. L'app può eseguire l'autenticazione a qualsiasi servizio che supporti l'autenticazione di Microsoft Entra senza gestire le credenziali. Non è necessario gestire i segreti. Non è necessario affrontare la possibilità di perderli o di gestirli in modo improprio. Gli agenti malevoli non possono intercettare i segreti che non si muovono attraverso la rete. Le identità gestite per le risorse di Azure sono la procedura consigliata quando si creano servizi in Azure.
Passaggi successivi
- I tipi di identità e account supportati per le app a tenant singolo e multi-tenant spiegano come è possibile scegliere se l'app consente solo agli utenti del tenant di Microsoft Entra, a qualsiasi tenant di Microsoft Entra o agli utenti con account Microsoft personali.
- Sviluppare una strategia di autorizzazioni per le applicazioni consente di decidere l'approccio alle autorizzazioni dell'applicazione per la gestione delle credenziali.
- Fornire le credenziali di identità dell'applicazione quando non è presente alcun utente spiega perché le identità gestite per le risorse di Azure sono le procedure consigliate per le credenziali client per i servizi (applicazioni non utente) in Azure.
- Le procedure consigliate per l'autorizzazione consentono di implementare i modelli di autorizzazione, autorizzazione e consenso ottimali per le applicazioni.
- Utilizzare le migliori pratiche di sviluppo per la gestione delle identità e degli accessi Zero Trust nel ciclo di sviluppo delle applicazioni per creare applicazioni sicure.
- La creazione di app con un approccio Zero Trust all'identità offre una panoramica delle autorizzazioni e delle procedure consigliate per l'accesso.