Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Quando tu, como programador, constróis aplicações não utilizadoras, não tens um utilizador a quem possas pedir um nome de utilizador e palavra-passe ou Autenticação Multifator (MFA). Tens de fornecer a identidade da aplicação de forma independente. Este artigo explica porque é que a melhor prática de credenciais de cliente Zero Trust para serviços (aplicações não utilizadoras) no Azure é Identidades Geridas para recursos Azure.
Problemas com contas de serviço
O uso de uma conta de serviço (uso de uma conta de utilizador para um serviço) não é uma boa solução. O Microsoft Entra ID não tem um conceito de conta de serviço. Quando os administradores criam contas de utilizador para os serviços e depois partilham palavras-passe com os programadores, é inseguro. Não pode ser sem necessidade de palavra-passe nem ter MFA (autenticação multifator). Em vez de usar uma conta de utilizador como uma conta de serviço, a melhor solução é usar uma das seguintes opções de credenciais de cliente.
Opções de credencial para clientes
Existem quatro tipos de credenciais de cliente que podem identificar uma aplicação.
- Chave secreta
- Certidão
- Identidades Geridas para recursos do Azure
- Credenciais federadas
Chave secreta ou certificado?
Chaves secretas são aceitáveis em infraestruturas sofisticadas de gestão de segredos (como o Azure Key Vault). No entanto, não se pode proteger corretamente as chaves secretas em cenários em que o IT Pro gera uma chave secreta e depois a envia por email a um programador.
As credenciais de cliente baseadas em certificados são mais seguras do que as chaves secretas. Consegues gerir melhor os certificados porque eles não são o segredo em si. O segredo não faz parte de uma transmissão. Quando usa uma chave secreta, o seu cliente envia o valor real da chave secreta para o Microsoft Entra ID. Quando usas um certificado, a chave privada do certificado nunca sai do dispositivo. Mesmo que alguém intercete, descifre e desencripte a transmissão, o segredo continua seguro porque a parte intercetadora não tem a chave privada.
Boa prática: usar Identidades Geridas para Recursos Azure
Quando desenvolve serviços (aplicações não utilizadoras) no Azure, as Identidades Geridas para Recursos Azure fornecem uma identidade gerida automaticamente no Microsoft Entra ID. A aplicação pode autenticar-se em qualquer serviço que suporte autenticação Microsoft Entra sem gerir credenciais. Não precisas de gerir segredos. Não precisa de lidar com a possibilidade de os perder ou tratá-los de forma inadequada. Atores mal-intencionados não conseguem interceptar segredos que não se propagam pela rede. Identidades Geridas para recursos Azure são a melhor prática quando constrói serviços no Azure.
Passos seguintes
- Os tipos de identidade e conta suportados para aplicações de inquilino único e múltiplo explicam como pode escolher se a sua aplicação permite apenas utilizadores do seu inquilino Microsoft Entra, de qualquer inquilino Microsoft Entra, ou utilizadores com contas pessoais da Microsoft.
- Desenvolver a estratégia de permissões de aplicativo ajuda você a decidir sobre a abordagem de permissões de aplicativo para o gerenciamento de credenciais.
- Forneça credenciais de identidade de aplicação quando não há utilizador que explique porque é que Identidades Geridas para recursos Azure é a melhor prática de credenciais de cliente para serviços (aplicações não utilizadoras) no Azure.
- As práticas recomendadas de autorização ajudam você a implementar os melhores modelos de autorização, permissão e consentimento para seus aplicativos.
- Use as práticas recomendadas de desenvolvimento de gerenciamento de acesso e identidade Zero Trust em seu ciclo de vida de desenvolvimento de aplicativos para criar aplicativos seguros.
- A criação de aplicativos com uma abordagem Zero Trust para identidade fornece uma visão geral das permissões e das práticas recomendadas de acesso.