Плюсы и минусы учетной записи службы и субъекта-службы в AAD

Hong Ooi

21.02.2023, 23:29

Официальные документы Microsoft сильно препятствовать практика использования учетных записей пользователей в качестве учетных записей служб. Вместо этого они рекомендуют использовать субъекты-службы или управляемые удостоверения.

Оставив пока в стороне МИ, у меня только что возник вопрос по этому поводу. Почему существует такая настоятельная рекомендация против учетных записей пользователей в качестве учетных записей служб в AAD? Рассмотрим альтернативу субъекта-службы:

Оба требуют какой-то секрет для аутентификации, будь то пароль пользователя или секрет клиента. Поскольку это учетная запись службы, которая не будет использоваться в интерактивном режиме, предположительно, мы можем сгенерировать для нее надежный случайный пароль, поэтому уровень безопасности должен быть таким же.
Субъект-служба требует разрешений приложения в AAD, которые очень надежны, поскольку не связаны с конкретным удостоверением. Например, если я даю своему приложению разрешение Files.ReadWrite, я могу связываться с OneDrives ВСЕХ пользователей в моей организации. С другой стороны, учетная запись службы с делегированными разрешениями может касаться только тех ресурсов, к которым у нее есть доступ, поэтому риск утечки/уничтожения данных должен быть меньше.
Учетная запись службы использует пароль владельца ресурса поток для аутентификации, который поддерживается не всеми поставщиками аутентификации.Тем не менее, если я использую только чистый AAD, это не будет проблемой.

Почему сервисные аккаунты считаются вредоносными?

173

0 + 0

совместное использование экрана

azure-active-directory

Рейтинг:1

Server

Jevgenij Martynenko

22.02.2023, 06:16

Я с вами на этом. Я сам провел такое исследование и пришел к такому же выводу: в настоящее время учетные записи служб являются более безопасным вариантом, чем субъекты служб.

Основные проблемы с субъектами-службами:

отсутствие детализации разрешений
отсутствие поддержки правил условного доступа Azure AD
логирование слабых действий

Единственное реальное преимущество, которое я обнаружил в использовании субъекта-службы, заключается в том, что вам не нужна лицензия для доступа к данным Office 365, таким как файлы или электронные письма. Хотя это не имеет ничего общего с безопасностью.

Честно говоря, я предполагаю, что сценарий проверки подлинности сертификата является допустимым случаем отдельной функции безопасности, которая недоступна для учетных записей службы AAD. Но опять же, нет никаких средств для дальнейшей защиты субъектов-служб.

0 + 0

Admin

Этот вопрос на других языках:

EN: Pros/cons of service account and service principal in AAD

TH: ข้อดี/ข้อเสียของบัญชีบริการและบริการหลักใน AAD

RO: Avantaje/dezavantaje ale contului de serviciu și ale principalului de serviciu în AAD

RU: Плюсы и минусы учетной записи службы и субъекта-службы в AAD

VI: Ưu/nhược điểm của tài khoản dịch vụ và tiền gốc dịch vụ trong AAD

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.