Che cosa sono le identità dei carichi di lavoro?

Un'identità del carico di lavoro è un'identità assegnata a un carico di lavoro software (ad esempio un'applicazione, un servizio, uno script o un contenitore) per autenticarsi e accedere ad altri servizi e risorse. La terminologia è incoerente nel settore, ma in genere un'identità dei carichi di lavoro è necessaria per eseguire l'autenticazione dell'entità software con un sistema. Ad esempio, per consentire a GitHub Actions di accedere alle sottoscrizioni di Azure, l'azione richiede un'identità dei carichi di lavoro che abbia accesso a tali sottoscrizioni. Un'identità del carico di lavoro potrebbe anche essere un ruolo di servizio AWS associato a un'istanza EC2 con accesso in sola lettura a un bucket Amazon S3.

In Microsoft Entra le identità dei carichi di lavoro sono applicazioni, entità servizio e identità gestite.

Un'applicazione è un'entità astratta, o un modello, definita dal relativo oggetto applicativo. L'oggetto applicazione è la rappresentazione globale dell'applicazione da usare in tutti i tenant. L'oggetto applicazione descrive il modo in cui vengono emessi i token, le risorse a cui l'applicazione deve accedere e le azioni che l'applicazione può eseguire.

Un'entità servizio è la rappresentazione locale o l'istanza di applicazione di un oggetto di applicazione globale in un tenant specifico. Un oggetto applicazione viene usato come modello per creare un oggetto entità servizio in ogni tenant in cui viene usata l'applicazione. L'oggetto entità servizio definisce il comportamento dell'app nello specifico tenant, ad esempio chi può accedere all'app e le risorse a cui l'app può accedere.

Un'identità gestita è un tipo speciale di entità servizio che elimina la necessità di gestione delle credenziali da parte degli sviluppatori.

Ecco alcuni modi in cui vengono usate le identità del carico di lavoro in Microsoft Entra ID:

• Un'app che consente a un'app Web di accedere a Microsoft Graph in base al consenso dell'amministratore o dell'utente. Questo accesso può essere per conto dell'utente o per conto dell'applicazione.
• Un'identità gestita usata da uno sviluppatore per effettuare il provisioning del servizio con accesso a una risorsa di Azure, ad esempio Azure Key Vault o Archiviazione di Azure.
• Un principal servizio usato da uno sviluppatore per abilitare una pipeline CI/CD per distribuire un'app web da GitHub ad Azure App Service.

Identità dei carichi di lavoro, altre identità di macchina e identità umane

A livello generale, esistono due tipi di identità: le identità umane e le identità di macchine/non umane. Le identità dei carichi di lavoro e le identità dei dispositivi costituiscono insieme un gruppo denominato identità computer (o non umane). Le identità dei carichi di lavoro rappresentano carichi di lavoro software, mentre le identità dei dispositivi rappresentano dispositivi come computer desktop, dispositivi mobili, sensori IoT e dispositivi gestiti IoT. Le identità dei computer sono distinte dalle identità umane, che rappresentano persone come dipendenti (lavoratori interni e lavoratori front-line) e utenti esterni (clienti, consulenti, fornitori e partner).

Necessità di proteggere le identità dei carichi di lavoro

Le soluzioni sono sempre più dipendenti da entità non umane per completare task vitali e il numero di identità non umane aumenta notevolmente. Gli attacchi informatici recenti mostrano che gli antagonisti prendono sempre più di mira le identità non umane rispetto alle identità umane.

In genere, gli utenti umani dispongono di una singola identità per accedere a un'ampia gamma di risorse. A differenza di un utente umano, un carico di lavoro software può dover gestire più credenziali per accedere a risorse diverse e queste credenziali devono essere archiviate in modo sicuro. È inoltre difficile tenere traccia di quando un'identità di carico di lavoro viene creata o quando deve essere revocata. Le aziende rischiano che le applicazioni o i servizi in uso vengano sfruttati o violati a causa di difficoltà nella protezione delle identità dei carichi di lavoro.

La maggior parte delle soluzioni di gestione delle identità e degli accessi sul mercato è attualmente incentrata solo sulla protezione delle identità umane e non sulle identità dei carichi di lavoro. ID dei carichi di lavoro di Microsoft Entra consente di risolvere questi problemi relativi alla protezione delle identità dei carichi di lavoro.

Scenari principali

Ecco alcuni modi per utilizzare le identità dei carichi di lavoro.

Proteggere l'accesso con i criteri adattivi:

• Applicare il criterio di accesso condizionale ai servizi principali di proprietà dell'organizzazione usando l'accesso condizionale per le identità dei carichi di lavoro.
• Abilitare l’applicazione in tempo reale della posizione e dei criteri di rischio dell'accesso condizionale usando la Valutazione continua dell'accesso per le identità dei carichi di lavoro.
• Gestire attributi di sicurezza personalizzati per un’app

Rilevare in modo intelligente le identità compromesse:

• Rilevare i rischi (ad esempio le credenziali perse), contenere le minacce e ridurre il rischio per le identità dei carichi di lavoro usando Microsoft Entra ID Protection.

Semplificare la gestione del ciclo di vita:

• Accedere alle risorse protette di Microsoft Entra senza dover gestire i segreti per i carichi di lavoro eseguiti in Azure usando identità gestite.
• Accedere alle risorse protette di Microsoft Entra senza dover gestire i segreti usando la federazione delle identità dei carichi di lavoro per scenari supportati, ad esempio GitHub Actions, carichi di lavoro in esecuzione in Kubernetes o carichi di lavoro in esecuzione in piattaforme di calcolo all'esterno di Azure.
• Esaminare i principali del servizio e le applicazioni assegnate ai ruoli di directory privilegiati in Microsoft Entra ID usando le verifiche di accesso per i principali del servizio.

Passaggi successivi

• Ottenere risposte alle domande frequenti sulle identità dei carichi di lavoro.