共用方式為


什麼是工作負載身分識別?

工作負載身分識別是指派至軟體工作負載 (例如應用程式、服務、指令碼或容器) 的身分識別,用於驗證及存取其他服務和資源。 此術語在整個產業中並不一致,但一般而言,工作負載身分識別是您的軟體實體向某些系統進行驗證所需的項目。 例如,為了讓 GitHub Actions 存取 Azure 訂用帳戶,動作需要可存取這些訂用帳戶的工作負載身分識別。 工作負載身分識別也可以是附加至具有 Amazon S3 貯體唯讀存取權之 EC2 執行個體的 AWS 服務角色。

在 Microsoft Entra 中,工作負載身分識別為應用程式、服務主體和受控識別。

應用程式是由其應用程式物件所定義的抽象實體或範本。 應用程式物件是應用程式的「全域」表示法,可在所有租用戶中使用。 應用程式物件描述如何發出權杖、應用程式需要存取的資源,以及應用程式可採取的動作。

服務主體是特定租用戶中全域應用程式物件的「本機」表示法或應用程式執行個體。 應用程式物件會用來做為範本,在應用程式使用所在的每個租用戶中建立服務主體物件。 服務主體物件會定義應用程式可實際在特定租用戶中進行的動作、可存取應用程式的人員,以及應用程式可存取的資源。

受控識別是一種特殊的服務主體類型,可免除開發人員管理認證的需求。

以下是一些在 Microsoft Entra ID 中使用工作負載身分識別的方式:

  • 可讓 Web 應用程式根據管理員或使用者同意存取 Microsoft Graph 的應用程式。 此存取可以代表使用者,也可以代表應用程式。
  • 開發人員用來佈建其服務的受控識別,使其服務可存取 Azure Key Vault 或 Azure 儲存體等 Azure 資源。
  • 開發人員用來啟用 CI/CD 管線的服務主體,可將 Web 應用程式從 GitHub 部署到 Azure App Service。

工作負載身分識別、其他機器身分識別及人類身分識別

概括而言,有兩種類型的身分識別:人類和機器/非人類身分識別。 工作負載身分識別和裝置身分識別共同組成稱為機器 (或非人類) 身分識別的群組。 工作負載身分識別代表軟體工作負載,而裝置身分識別代表桌上型電腦、行動裝置、IoT 感應器和 IoT 受控裝置等裝置。 機器身分識別與人類身分識別不同,人類身分識別代表人員,例如員工 (內部工作者和第一線工作人員) 和外部使用者 (客戶、顧問、廠商和合作夥伴)。

顯示不同類型的機器和人類身分識別的圖表。

保護工作負載身分識別的需求

越來越多的解決方案依賴非人類實體來完成重要工作,非人類身分識別的數量正在急遽增加。 最近的網路攻擊表明,敵人越來越以非人類身分為目標,而非人類身分。

人類使用者通常會有單一身分識別,用來存取廣泛的資源。 不同於人類使用者,軟體工作負載可能會處理多個認證來存取不同的資源,而且這些認證必須安全地儲存。 也很難追蹤何時建立工作負載身分識別,或何時應撤銷。 企業會因為難以保護工作負載身分識別而造成其應用程式或服務遭到惡意探索或入侵的風險。

圖表,顯示保護工作負載身分識別的難題。

現今市場上大部分的身分識別和存取權管理解決方案只著重於保護人類身分識別,而不是工作負載身分識別。 Microsoft Entra 工作負載 ID 有助於在保護工作負載身分識別時解決這些問題。

重要案例

以下是工作負載身分識別的一些用法。

使用調適型原則保護存取:

以智慧方式偵測遭入侵的身分識別:

  • 偵測風險 (例如認證外洩),包含威脅,並使用身分識別保護降低工作負載身分識別的風險。

簡化生命週期管理:

  • 使用受控識別來存取受 Microsoft Entra 保護的資源,而不需要管理在 Azure 上執行的工作負載祕密。
  • 使用工作負載身分識別同盟來存取受 Microsoft Entra 保護的資源,而不需要管理支援案例的祕密,例如 GitHub Actions、在 Kubernetes 上執行的工作負載,或是在 Azure 外部運算平台中執行的工作負載。
  • 使用服務主體的存取權檢閱,檢閱指派給 Microsoft Entra ID 中具特殊權限目錄角色的服務主體和應用程式。

下一步