Почему я должен использовать принципала службы для аутентификации машины, а не пользователя AAD?

#azure-active-directory

#azure-active-каталог

Вопрос:

Я знаю, что мне нужно создать участника службы, когда мне нужно удостоверение для приложения, которое подключается к ресурсам Azure. Но если бы кто-то спросил меня: «Почему бы просто не создать пользователя AAD и не аутентифицироваться как этот пользователь?» Я честно не мог ответить, кроме «Это не так, как ты это делаешь»..

Может ли кто-нибудь дать мне правильное объяснение, почему использование пользователя службы AAD вместо регистрации приложения было бы плохой идеей?

Ответ №1:

Принципал службы-это приложение, токены которого можно использовать для проверки подлинности и предоставления доступа к определенным ресурсам Azure из пользовательского приложения, службы или средства автоматизации, когда организация использует Azure Active Directory

Используя принципала службы, мы можем избежать создания «поддельных пользователей» (аналогично учетной записи службы в локальной службе Active Directory) в Azure AD для управления проверкой подлинности при необходимости доступа к ресурсам Azure

Доступ участников службы может быть ограничен путем назначения ролей Azure RBAC, чтобы они могли получать доступ только к определенному набору ресурсов Azure

Поэтому в целях повышения безопасности мы можем использовать принципала службы вместо пользователя Azure AD из an для проверки подлинности и доступа к ресурсам Azure.

Комментарии:

1. А, понятно, спасибо.