Security
AAD 中服務帳戶和服務主體的優缺點
Microsoft 官方文件強烈反對將使用者帳戶用作服務帳戶的做法。相反,他們建議使用服務主體或託管標識。
暫且不談 MI,我只是有一個關於這個的問題。為什麼在 AAD 中強烈建議將使用者帳戶作為服務帳戶?考慮服務主體的替代方案:
- 兩者都需要某種機密來進行身份驗證,無論是使用者密碼還是客戶端機密。由於這是一個不會看到互動使用的服務帳戶,想必我們可以為它生成一個強隨機密碼,所以安全級別應該是相同的。
- 服務主體需要 AAD 中的應用程序權限,由於未連結到特定身份,因此權限非常強大。例如,如果我給我的應用程序 Files.ReadWrite 權限,我可以弄亂我組織中所有使用者的 OneDrives。另一方面,具有委派權限的服務帳戶只能接觸其有權訪問的資源,因此數據洩漏/破壞的風險應該較小。
- 服務帳戶使用資源所有者密碼流進行身份驗證,並非所有身份驗證提供程序都支持。不過,如果我只使用純 AAD,這將不是問題。
為什麼服務帳戶被認為是有害的?
我和你在一起。我自己進行了此類研究並得出了相同的結論:目前服務帳戶比服務主體更安全。
服務主體的主要問題是:
- 缺乏權限粒度
- 缺乏 Azure AD 條件訪問規則支持
- 弱動作記錄
我發現使用服務主體的唯一真正好處是您無需許可證即可訪問 Office 365 數據,例如文件或電子郵件。但這與安全無關。
公平地說,我猜證書身份驗證方案是 AAD 服務帳戶無法使用的獨特安全功能的有效案例。但同樣,沒有辦法進一步保護服務主體