Ưu/nhược điểm của tài khoản dịch vụ và tiền gốc dịch vụ trong AAD

Hong Ooi

23:29, 21/02/2023

Tài liệu chính thức của Microsoft ngăn cản mạnh mẽ việc sử dụng tài khoản người dùng làm tài khoản dịch vụ. Thay vào đó, họ khuyên bạn nên sử dụng hiệu trưởng dịch vụ hoặc danh tính được quản lý.

Bỏ MI sang một bên vào lúc này, tôi chỉ có một câu hỏi về điều này. Tại sao lại có đề xuất mạnh mẽ như vậy đối với tài khoản người dùng là tài khoản dịch vụ trong AAD? Xem xét sự thay thế của một hiệu trưởng dịch vụ:

Cả hai đều yêu cầu một số loại bí mật để xác thực, cho dù đó là mật khẩu người dùng hay bí mật của khách hàng. Vì đây là tài khoản dịch vụ sẽ không thấy sử dụng tương tác, nên có lẽ chúng tôi có thể tạo một mật khẩu mạnh ngẫu nhiên cho tài khoản đó, vì vậy mức độ bảo mật sẽ giống nhau.
Hiệu trưởng dịch vụ yêu cầu quyền của ứng dụng trong AAD, quyền này rất mạnh do không được liên kết với một danh tính cụ thể. Ví dụ: nếu tôi cấp cho ứng dụng của mình quyền Files.ReadWrite, tôi có thể gây rối với OneDrive của TẤT CẢ người dùng trong tổ chức của mình. Mặt khác, một tài khoản dịch vụ có quyền được ủy quyền chỉ có thể chạm vào các tài nguyên mà tài khoản đó có quyền truy cập, do đó, nguy cơ rò rỉ/phá hủy dữ liệu sẽ ít hơn.
Tài khoản dịch vụ sử dụng mật khẩu chủ sở hữu tài nguyên luồng để xác thực, vốn không được hỗ trợ bởi tất cả các nhà cung cấp xác thực.Tuy nhiên, nếu tôi chỉ sử dụng AAD thuần túy thì điều này sẽ không thành vấn đề.

Tại sao tài khoản dịch vụ được coi là có hại?

173

0 + 0

chia sẻ màn hình

azure-active-directory

Điểm:1

Server

Jevgenij Martynenko

06:16, 22/02/2023

Tôi với bạn về điều này. Tôi đã tự mình thực hiện loại nghiên cứu này và đi đến cùng một kết luận: tài khoản dịch vụ hiện tại là lựa chọn an toàn hơn nhiều so với tài khoản gốc dịch vụ.

Các vấn đề chính với hiệu trưởng dịch vụ là:

thiếu chi tiết quyền
thiếu hỗ trợ quy tắc Truy cập có điều kiện của Azure AD
ghi nhật ký hành động yếu

Lợi ích thực sự duy nhất tôi tìm thấy khi sử dụng dịch vụ chính là bạn không cần giấy phép để truy cập dữ liệu Office 365, chẳng hạn như tệp hoặc email. Điều này không có gì để làm với bảo mật mặc dù.

Công bằng mà nói, tôi đoán kịch bản xác thực chứng chỉ là một trường hợp hợp lệ của tính năng bảo mật riêng biệt không có sẵn cho các tài khoản dịch vụ AAD. Nhưng một lần nữa, không có phương tiện nào để đảm bảo hiệu trưởng dịch vụ nữa

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Pros/cons of service account and service principal in AAD

TH: ข้อดี/ข้อเสียของบัญชีบริการและบริการหลักใน AAD

RO: Avantaje/dezavantaje ale contului de serviciu și ale principalului de serviciu în AAD

RU: Плюсы и минусы учетной записи службы и субъекта-службы в AAD

VI: Ưu/nhược điểm của tài khoản dịch vụ và tiền gốc dịch vụ trong AAD

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.