Che cosa sono le identità dei carichi di lavoro?

Un'identità del carico di lavoro è un'identità assegnata a un carico di lavoro software (ad esempio un'applicazione, un servizio, uno script o un contenitore) per autenticare e accedere ad altri servizi e risorse. La terminologia è incoerente nel settore, ma in genere un'identità del carico di lavoro è necessaria per eseguire l'autenticazione dell'entità software con un sistema. Ad esempio, per consentire a GitHub Actions di accedere alle sottoscrizioni di Azure, l'azione richiede un'identità del carico di lavoro che abbia accesso a tali sottoscrizioni. Un'identità del carico di lavoro può anche essere un ruolo del servizio AWS collegato a un'istanza EC2 con accesso in sola lettura a un bucket Amazon S3.

In Microsoft Entra le identità del carico di lavoro sono applicazioni, entità servizio e identità gestite.

Un'applicazione è un'entità astratta, o un modello, definita dal relativo oggetto applicazione. L'oggetto applicazione è la rappresentazione globale dell'applicazione da usare in tutti i tenant. L'oggetto applicazione descrive il modo in cui vengono emessi i token, le risorse a cui l'applicazione deve accedere e le azioni che l'applicazione può eseguire.

Un'entità servizio è la rappresentazione locale o l'istanza dell'applicazione di un oggetto applicazione globale in un tenant specifico. Un oggetto applicazione viene usato come modello per creare un oggetto entità servizio in ogni tenant in cui viene usata l'applicazione. L'oggetto entità servizio definisce il comportamento dell'app nello specifico tenant, ad esempio chi può accedere all'app e le risorse a cui l'app può accedere.

Un'identità gestita è un tipo speciale di entità servizio che elimina la necessità di gestione delle credenziali da parte degli sviluppatori.

Ecco alcuni modi in cui vengono usate le identità del carico di lavoro in Microsoft Entra ID:

• Un'app che consente a un'app Web di accedere a Microsoft Graph in base al consenso dell'amministratore o dell'utente. Questo accesso può essere per conto dell'utente o per conto dell'applicazione.
• Un'identità gestita usata da uno sviluppatore per effettuare il provisioning del servizio con accesso a una risorsa di Azure, ad esempio Azure Key Vault o Archiviazione di Azure.
• Un'entità servizio usata da uno sviluppatore per abilitare una pipeline di integrazione continua e recapito continuo per distribuire un'app Web da GitHub al servizio app di Azure.

Identità dei carichi di lavoro, altre identità del computer e identità umane

A livello generale, esistono due tipi di identità: le identità umane e non umane. Le identità dei carichi di lavoro e le identità dei dispositivi costituiscono insieme un gruppo denominato identità computer (o non umane). Le identità dei carichi di lavoro rappresentano carichi di lavoro software, mentre le identità dei dispositivi rappresentano dispositivi come computer desktop, dispositivi mobili, sensori IoT e dispositivi gestiti IoT. Le identità dei computer sono distinte dalle identità umane, che rappresentano persone come dipendenti (lavoratori interni e lavoratori front-line) e utenti esterni (clienti, consulenti, fornitori e partner).

Necessità di proteggere le identità del carico di lavoro

Sempre più, le soluzioni sono dipendenti da entità non umane per completare attività vitali e il numero di identità non umane aumenta notevolmente. Gli attacchi informatici recenti mostrano che gli avversari sono sempre più mirati alle identità non umane sulle identità umane.

Gli utenti umani hanno in genere una singola identità usata per accedere a un'ampia gamma di risorse. A differenza di un utente umano, un carico di lavoro software può gestire più credenziali per accedere a risorse diverse e tali credenziali devono essere archiviate in modo sicuro. È anche difficile tenere traccia di quando viene creata un'identità del carico di lavoro o quando deve essere revocata. Le aziende rischiano di sfruttare o violare le applicazioni o i servizi a causa di difficoltà nella protezione delle identità del carico di lavoro.

La maggior parte delle soluzioni di gestione delle identità e degli accessi sul mercato è attualmente incentrata solo sulla protezione delle identità umane e non sulle identità dei carichi di lavoro. ID dei carichi di lavoro di Microsoft Entra consente di risolvere questi problemi quando si proteggono le identità del carico di lavoro.

Scenari principali

Ecco alcuni modi per usare le identità del carico di lavoro.

Proteggere l'accesso con i criteri adattivi:

• Applicare i criteri di accesso condizionale alle entità servizio di proprietà dell'organizzazione usando l'accesso condizionale per le identità del carico di lavoro.
• Abilitare l'imposizione in tempo reale della posizione e dei criteri di rischio dell'accesso condizionale usando la valutazione dell'accesso continuo per le identità del carico di lavoro.
• Gestire gli attributi di sicurezza personalizzati per un'app

Rilevare in modo intelligente le identità compromesse:

• Rilevare i rischi (ad esempio le credenziali perse), contenere minacce e ridurre i rischi per le identità del carico di lavoro usando Identity Protection.

Semplificare la gestione del ciclo di vita:

• Accedere alle risorse protette di Microsoft Entra senza dover gestire i segreti per i carichi di lavoro eseguiti in Azure usando identità gestite.
• Accedere alle risorse protette di Microsoft Entra senza dover gestire i segreti usando la federazione dell'identità del carico di lavoro per scenari supportati, ad esempio GitHub Actions, carichi di lavoro in esecuzione in Kubernetes o carichi di lavoro in esecuzione in piattaforme di calcolo esterne ad Azure.
• Esaminare le entità servizio e le applicazioni assegnate ai ruoli della directory con privilegi in Microsoft Entra ID usando le verifiche di accesso per le entità servizio.

Passaggi successivi

• Risposte alle domande frequenti sulle identità del carico di lavoro.