O que são identidades de carga de trabalho?

Uma identidade de carga de trabalho é uma identidade que você atribui a uma carga de trabalho de software (como um aplicativo, serviço, script ou contêiner) para autenticar e acessar outros serviços e recursos. A terminologia é inconsistente em todo o setor, mas geralmente identidade de carga de trabalho é algo necessário para que a entidade de software se autentique em algum sistema. Por exemplo, para que o GitHub Actions acesse assinaturas do Azure, a ação precisa de uma identidade de carga de trabalho que tenha acesso a essas assinaturas. A identidade de carga de trabalho também pode ser uma função de serviço AWS anexada a uma instância EC2 com acesso somente leitura a um Bucket S3 da Amazon.

No Microsoft Entra, as identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas.

Aplicativo é uma entidade abstrata ou modelo definido pelo objeto do aplicativo. O objeto do aplicativo é a representação global do aplicativo para o uso de todos os locatários. O objeto do aplicativo descreve como os tokens são emitidos, os recursos que o aplicativo precisa acessar e as ações que o aplicativo pode executar.

Entidade de serviço é a representação local, ou instância do aplicativo, de um objeto de aplicativo global em um locatário específico. O objeto de aplicativo é usado como um modelo para criar um objeto de entidade de serviço em todos os locatários em que o aplicativo é usado. O objeto da entidade de serviço define o que o aplicativo pode realmente fazer em um locatário específico, quem pode acessar o aplicativo e quais recursos ele pode acessar.

Identidade gerenciada é um tipo de entidade de serviço que elimina a necessidade que os desenvolvedores têm de gerenciar credenciais.

Veja algumas maneiras de usar as identidades de carga de trabalho no Microsoft Entra ID:

• Um aplicativo que permite que um aplicativo Web acesse o Microsoft Graph com base no consentimento do usuário ou administrador. Esse acesso pode ser em nome do usuário ou do aplicativo.
• Uma identidade gerenciada usada por um desenvolvedor para provisionar o serviço com acesso a um recurso do Azure, como o Azure Key Vault ou Armazenamento do Microsoft Azure.
• Uma entidade de serviço usada por um desenvolvedor para habilitar um pipeline de CI/CD para implantar um aplicativo Web do GitHub para o Serviço de Aplicativo do Azure.

Identidades de carga de trabalho, outras identidades de computador e identidades humanas

Em um alto nível, há dois tipos de identidade: identidade humana e de máquina/não humana. As identidades de carga de trabalho e as identidades de dispositivo compõem um grupo chamado identidades de computador (ou não humana). As identidades de carga de trabalho representam cargas de trabalho de software, e as identidades de dispositivo representam dispositivos, como computadores desktop, dispositivos móveis, sensores IoT e dispositivo gerenciados por IoT. As identidades de computador são diferentes das identidades humanas, que representam pessoas, como funcionários (internos e de linha de frente) e usuários externos (clientes, consultores, fornecedores e parceiros).

A necessidade de proteger identidades de carga de trabalho

As soluções dependem cada vez mais de entidades não humanas para executar tarefas vitais e o número de identidades não humanas está aumentando radicalmente. Ataques cibernéticos recentes mostram que os adversários estão cada vez mais escolhendo como alvo identidades não humanas em vez de identidades humanas.

Os usuários humanos costumam ter uma única identidade usada para acessar uma ampla gama de recursos. Ao contrário de um usuário humano, uma carga de trabalho de software pode lidar com várias credenciais para acessar diferentes recursos e essas credenciais precisam ser armazenadas com segurança. Além disso, é difícil controlar quando uma identidade de carga de trabalho é criada ou quando deve ser revogada. As empresas correm o risco de que seus aplicativos ou serviços sejam explorados ou violados devido às dificuldades para proteger identidades de carga de trabalho.

A maioria das soluções de gerenciamento de acesso e identidade disponíveis no mercado atualmente se concentra apenas na proteção de identidades humanas e não nas identidades de carga de trabalho. O Microsoft Entra Workload ID ajuda a resolver esses problemas inerentes à proteção de identidades de carga de trabalho.

Principais cenários

Veja abaixo algumas maneiras de usar identidades de carga de trabalho.

Proteger o acesso com políticas adaptáveis:

• Aplique políticas de acesso condicional a entidades de serviço pertencentes à sua organização usando o Acesso condicional para identidades de carga de trabalho.
• Habilite a implementação do local do Acesso Condicional e das políticas de risco em tempo real usando uma Avaliação contínua de acesso para identidades de carga de trabalho.
• Gerenciar atributos de segurança personalizados para um aplicativo

Detectar identidades comprometidas com inteligência:

• Detecte riscos (como credenciais vazadas), contenha ameaças e reduza o risco para as identidades de carga de trabalho usando o Identity Protection.

Simplificar o gerenciamento do ciclo de vida:

• Acesse recursos protegidos do Microsoft Entra sem precisar gerenciar segredos para as cargas de trabalho executadas no Azure usando identidades gerenciadas.
• Acesse recursos protegidos do Microsoft Entra sem precisar gerenciar segredos usando a federação de identidades de carga de trabalho para cenários com suporte como o GitHub Actions, cargas de trabalho executadas no Kubernetes ou cargas de trabalho executadas em plataformas de computação fora do Azure.
• Revise as entidades de serviço e os aplicativos atribuídos a funções de diretório privilegiadas no Microsoft Entra ID usando revisões de acesso para entidades de serviço.

Próximas etapas

• Obtenha respostas para perguntas frequentes sobre identidades de carga de trabalho.