Apa itu identitas beban kerja?

Identitas beban kerja adalah identitas yang Anda tetapkan ke beban kerja perangkat lunak (seperti aplikasi, layanan, skrip, atau kontainer) untuk mengautentikasi dan mengakses layanan dan sumber daya lainnya. Terminologi tidak konsisten di seluruh industri, tetapi umumnya identitas beban kerja adalah sesuatu yang Anda perlukan agar entitas perangkat lunak Anda diautentikasi dengan beberapa sistem. Misalnya, agar GitHub Actions dapat mengakses langganan Azure, tindakan memerlukan identitas beban kerja yang memiliki akses ke langganan tersebut. Identitas beban kerja juga dapat berupa peran layanan AWS yang dilampirkan ke instans EC2 dengan akses baca-saja ke wadah Amazon S3.

Dalam Microsoft Entra, identitas beban kerja adalah aplikasi, prinsipal layanan, dan identitas terkelola.

Aplikasi adalah entitas abstrak, atau templat, yang ditentukan oleh objek aplikasinya. Objek aplikasi adalah representasi global dari aplikasi Anda untuk digunakan di semua penyewa. Objek aplikasi menjelaskan bagaimana token diterbitkan, sumber daya yang perlu diakses aplikasi, dan tindakan yang dapat dilakukan aplikasi.

Perwakilan layanan adalah representasi lokal, atau instans aplikasi, dari objek aplikasi global di penyewa tertentu. Objek aplikasi digunakan sebagai templat untuk membuat objek perwakilan layanan di setiap penyewa tempat aplikasi digunakan. Objek perwakilan layanan menentukan apa yang sebenarnya dapat dilakukan aplikasi dalam penyewa tertentu, siapa yang dapat mengakses aplikasi, dan sumber daya apa yang dapat diakses aplikasi.

Identitas terkelola adalah jenis perwakilan layanan khusus yang menghapus kebutuhan pengembang untuk mengelola kredensial.

Berikut adalah beberapa cara agar identitas beban kerja di ID Microsoft Entra digunakan:

• Aplikasi yang memungkinkan aplikasi web mengakses Microsoft Graph berdasarkan persetujuan admin atau pengguna. Akses ini dapat berupa atas nama pengguna atau atas nama aplikasi.
• Identitas terkelola yang digunakan oleh pengembang untuk memprovisikan layanan mereka dengan akses ke sumber daya Azure seperti Azure Key Vault atau Azure Storage.
• Perwakilan layanan yang digunakan oleh pengembang untuk mengaktifkan alur CI/CD untuk menyebarkan aplikasi web dari GitHub ke Azure App Service.

Identitas beban kerja, identitas mesin lain, dan identitas manusia

Pada tingkat tinggi, ada dua jenis identitas: identitas manusia dan mesin/bukan manusia. Identitas beban kerja dan identitas perangkat bersama-sama membentuk grup yang disebut identitas mesin (atau bukan manusia). Identitas beban kerja mewakili beban kerja perangkat lunak sementara identitas perangkat mewakili perangkat seperti komputer desktop, ponsel, sensor IoT, dan perangkat yang dikelola IoT. Identitas mesin berbeda dari identitas manusia, yang mewakili orang-orang seperti karyawan (pekerja internal dan pekerja garis depan) dan pengguna eksternal (pelanggan, konsultan, vendor, dan mitra).

Kebutuhan untuk mengamankan identitas beban kerja

Semakin banyak, solusi bergantung pada entitas non-manusia untuk menyelesaikan tugas penting dan jumlah identitas non-manusia meningkat secara dramatis. Serangan cyber terbaru menunjukkan bahwa musuh semakin menargetkan identitas non-manusia atas identitas manusia.

Pengguna manusia biasanya memiliki satu identitas yang digunakan untuk mengakses berbagai sumber daya. Tidak seperti pengguna manusia, beban kerja perangkat lunak dapat menangani beberapa kredensial untuk mengakses sumber daya yang berbeda dan kredensial tersebut perlu disimpan dengan aman. Sulit juga untuk melacak kapan identitas beban kerja dibuat atau kapan identitas tersebut harus dicabut. Perusahaan berisiko aplikasi atau layanan mereka dieksploitasi atau dilanggar karena kesulitan dalam mengamankan identitas beban kerja.

Sebagian besar solusi manajemen identitas dan akses di pasar saat ini hanya berfokus pada pengamanan identitas manusia dan bukan identitas beban kerja. ID Beban Kerja Microsoft Entra membantu mengatasi masalah ini saat mengamankan identitas beban kerja.

Skenario utama

Berikut adalah beberapa cara Anda dapat menggunakan identitas beban kerja.

Akses aman dengan kebijakan adaptif:

• Terapkan kebijakan Akses Bersyarat ke perwakilan layanan yang dimiliki oleh organisasi Anda menggunakan Akses Bersyarat untuk identitas beban kerja.
• Aktifkan penegakan lokasi Akses Bersyarkat secara real time dan kebijakan risiko menggunakan evaluasi akses berkelanjutan untuk identitas beban kerja.
• Mengelola atribut keamanan kustom untuk aplikasi

Mendeteksi identitas yang disusupi secara cerdas:

• Mendeteksi risiko (seperti kredensial yang bocor), berisi ancaman, dan mengurangi risiko terhadap identitas beban kerja menggunakan Perlindungan Identitas.

Menyederhanakan manajemen siklus hidup:

• Akses sumber daya yang dilindungi Microsoft Entra tanpa perlu mengelola rahasia untuk beban kerja yang berjalan di Azure menggunakan identitas terkelola.
• Akses sumber daya yang dilindungi Microsoft Entra tanpa perlu mengelola rahasia menggunakan federasi identitas beban kerja untuk skenario yang didukung seperti GitHub Actions, beban kerja yang berjalan di Kubernetes, atau beban kerja yang berjalan di platform komputasi di luar Azure.
• Tinjau perwakilan layanan dan aplikasi yang ditetapkan ke peran direktori istimewa di ID Microsoft Entra menggunakan tinjauan akses untuk perwakilan layanan.

Langkah berikutnya

• Dapatkan jawaban atas tanya jawab umum tentang identitas beban kerja.