#azure-active-directory
#azure-active-каталог
Вопрос:
Я знаю, что мне нужно создать участника службы, когда мне нужно удостоверение для приложения, которое подключается к ресурсам Azure. Но если бы кто-то спросил меня: «Почему бы просто не создать пользователя AAD и не аутентифицироваться как этот пользователь?» Я честно не мог ответить, кроме «Это не так, как ты это делаешь»..
Может ли кто-нибудь дать мне правильное объяснение, почему использование пользователя службы AAD вместо регистрации приложения было бы плохой идеей?
Ответ №1:
Принципал службы-это приложение, токены которого можно использовать для проверки подлинности и предоставления доступа к определенным ресурсам Azure из пользовательского приложения, службы или средства автоматизации, когда организация использует Azure Active Directory
Используя принципала службы, мы можем избежать создания «поддельных пользователей» (аналогично учетной записи службы в локальной службе Active Directory) в Azure AD для управления проверкой подлинности при необходимости доступа к ресурсам Azure
Доступ участников службы может быть ограничен путем назначения ролей Azure RBAC, чтобы они могли получать доступ только к определенному набору ресурсов Azure
Поэтому в целях повышения безопасности мы можем использовать принципала службы вместо пользователя Azure AD из an для проверки подлинности и доступа к ресурсам Azure.
Комментарии:
1. А, понятно, спасибо.