Sécurisation des comptes de service basés sur le cloud
Il existe trois types de comptes de service natifs dans Microsoft Entra ID : les identités managées, les principaux de service et les comptes de service basés sur les utilisateurs. Les comptes de service sont un type particulier de compte destiné à représenter une entité non humaine telle qu'une application, une API ou un autre service. Ces entités opèrent dans le contexte de sécurité fourni par le compte de service.
Types de comptes de service Microsoft Entra
Pour les services hébergés dans Azure, nous recommandons d'utiliser une identité managée, si possible, et un service principal si ce n'est pas le cas. Les identités managées ne peuvent pas être utilisées pour les services hébergés en dehors d'Azure. Dans ce cas, nous vous recommandons d'utiliser un principal de service. Si vous pouvez utiliser une identité managée ou un principal de service, faites-le. Nous vous recommandons de ne pas utiliser un compte d’utilisateur Microsoft Entra en tant que compte de service. Le tableau suivant fournit un récapitulatif.
Hébergement du service | Identité managée | Principal du service | Compte d’utilisateur Azure |
---|---|---|---|
Le service est hébergé dans Azure. | Oui. Recommandé si le service prend en charge une identité managée. |
Oui. | Non recommandé. |
Le service n'est pas hébergé dans Azure. | Non | Oui. Recommandé. | Non recommandé. |
Il s'agit d'un service multi-locataire | Non | Oui. Recommandé. | Non. |
Identités managées
Les identités managées sont des identités Microsoft Entra sécurisées et créées pour fournir une identité aux ressources Azure. Il existe deux types d'identités managées :
Les identités managées attribuées par le système peuvent être attribuées directement à une instance d'un service.
Les identités managées attribuées par l'utilisateur peuvent être créées en tant que ressources Azure autonomes.
Pour plus d'informations, consultez Sécurisation des identités managées. Pour en savoir plus sur les identités managées, consultez la section Que sont les identités managées pour les ressources Azure ?
Principaux de service
Si vous n'êtes pas en mesure d'utiliser une identité managée pour représenter votre application, utilisez un principal de service. Les principaux de service peuvent être utilisés avec des applications à locataire unique et à plusieurs locataires.
Un principal de service est la représentation locale d'un objet d'application dans un locataire Microsoft Entra. Il constitue l'identité de l'instance d'application, détermine qui peut accéder à l'application et à quelles ressources l'application a accès. Un principal de service est créé dans (local à) chaque locataire dans lequel l'application est utilisée, et fait référence à l'objet d'application global unique. Le tenant (client/locataire) sécurise la connexion du principal du service et l’accès aux ressources.
Il existe deux mécanismes pour l'authentification à l'aide de principaux de service : les certificats client et les clés secrètes client. Les certificats sont plus sécurisés : si possible, utilisez des certificats client. Contrairement aux secrets clients, les certificats clients ne peuvent pas être incorporés par inadvertance dans le code.
Pour plus d'informations sur la sécurisation des principaux de service, consultez Sécurisation des principaux de service.
Étapes suivantes
Pour plus d'informations sur la sécurisation des comptes de service Azure, consultez les rubriques suivantes :
Sécurisation des identités managées