Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma identidade de carga de trabalho é uma identidade que você atribui a uma carga de trabalho de software (como um aplicativo, serviço, script ou contêiner) para autenticar e acessar outros serviços e recursos. A terminologia é inconsistente em todo o setor, mas geralmente identidade de carga de trabalho é algo necessário para que a entidade de software se autentique em algum sistema. Por exemplo, para que o GitHub Actions acesse assinaturas do Azure, a ação precisa de uma identidade de carga de trabalho que tenha acesso a essas assinaturas. A identidade de carga de trabalho também pode ser uma função de serviço da AWS anexada a uma instância EC2 com acesso somente leitura a um bucket S3 da Amazon.
No Microsoft Entra, as identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas.
Aplicativo é uma entidade abstrata ou modelo definido pelo objeto do aplicativo. O objeto do aplicativo é a representação global do aplicativo para o uso de todos os locatários. O objeto do aplicativo descreve como os tokens são emitidos, os recursos que o aplicativo precisa acessar e as ações que o aplicativo pode executar.
Entidade de serviço é a representação local, ou instância do aplicativo, de um objeto de aplicativo global em um locatário específico. O objeto de aplicativo é utilizado como um modelo para criar um objeto principal de serviço em cada locatário onde o aplicativo é utilizado. O objeto da entidade de serviço define o que o aplicativo pode realmente fazer em um locatário específico, quem pode acessar o aplicativo e quais recursos ele pode acessar.
Identidade gerenciada é um tipo de entidade de serviço que elimina a necessidade que os desenvolvedores têm de gerenciar credenciais.
Veja algumas maneiras de usar as identidades de carga de trabalho no Microsoft Entra ID:
- Um aplicativo que permite que um aplicativo Web acesse o Microsoft Graph com base no consentimento do usuário ou administrador. Esse acesso pode ser em nome do usuário ou do aplicativo.
- Uma identidade gerenciada usada por um desenvolvedor para provisionar o serviço com acesso a um recurso do Azure, como o Azure Key Vault ou Armazenamento do Microsoft Azure.
- Uma entidade de serviço usada por um desenvolvedor para habilitar um pipeline de CI/CD para implantar um aplicativo Web do GitHub no Serviço de Aplicativo do Azure.
Identidades de carga de trabalho, outras identidades de computador e identidades humanas
Em um alto nível, há dois tipos de identidade: identidade humana e de máquina/não humana. As identidades de carga de trabalho e as identidades de dispositivo compõem um grupo chamado identidades de computador (ou não humana). As identidades de carga de trabalho representam cargas de trabalho de software, e as identidades de dispositivo representam dispositivos, como computadores desktop, dispositivos móveis, sensores IoT e dispositivo gerenciados por IoT. As identidades de computador são diferentes das identidades humanas, que representam pessoas, como funcionários (internos e de linha de frente) e usuários externos (clientes, consultores, fornecedores e parceiros).
A necessidade de proteger identidades de carga de trabalho
As soluções dependem cada vez mais de entidades não humanas para executar tarefas vitais e o número de identidades não humanas está aumentando radicalmente. Ataques cibernéticos recentes mostram que os adversários estão cada vez mais escolhendo como alvo identidades não humanas em vez de identidades humanas.
Os usuários humanos costumam ter uma única identidade usada para acessar uma ampla gama de recursos. Ao contrário de um usuário humano, uma carga de trabalho de software pode lidar com várias credenciais para acessar diferentes recursos e essas credenciais precisam ser armazenadas com segurança. Além disso, é difícil controlar quando uma identidade de carga de trabalho é criada ou quando deve ser revogada. As empresas correm o risco de que seus aplicativos ou serviços sejam explorados ou violados devido às dificuldades para proteger identidades de carga de trabalho.
A maioria das soluções de gerenciamento de acesso e identidade disponíveis no mercado atualmente se concentra apenas na proteção de identidades humanas e não nas identidades de carga de trabalho. O ID de carga de trabalho do Microsoft Entra ajuda a resolver esses problemas inerentes à proteção de identidades de carga de trabalho.
Principais cenários
Veja abaixo algumas maneiras de usar identidades de carga de trabalho.
Proteger o acesso com políticas adaptáveis:
- Aplique políticas de acesso condicional a entidades de serviço pertencentes à sua organização usando o Acesso condicional para identidades de carga de trabalho.
- Habilite a implementação do local do Acesso Condicional e das políticas de risco em tempo real usando uma Avaliação contínua de acesso para identidades de carga de trabalho.
- Gerenciar atributos de segurança personalizados para um aplicativo
Detectar identidades comprometidas com inteligência:
- Detecte riscos (como credenciais vazadas), contenha ameaças e reduza o risco para as identidades de carga de trabalho usando o Microsoft Entra ID Protection.
Simplificar o gerenciamento do ciclo de vida:
- Acesse recursos protegidos do Microsoft Entra sem precisar gerenciar segredos para as cargas de trabalho executadas no Azure usando identidades gerenciadas.
- Acesse recursos protegidos do Microsoft Entra sem precisar gerenciar segredos usando a federação de identidades de carga de trabalho para cenários com suporte como o GitHub Actions, cargas de trabalho executadas no Kubernetes ou cargas de trabalho executadas em plataformas de computação fora do Azure.
- Revise as entidades de serviço e os aplicativos atribuídos a funções de diretório privilegiadas no Microsoft Entra ID usando revisões de acesso para entidades de serviço.
Identidades de agentes para cargas de trabalho de IA
Os agentes de IA — sistemas de software autônomos que raciocinam, tomam decisões e tomam ações em nome de usuários ou organizações — representam uma categoria distinta de identidade de máquina com requisitos de segurança exclusivos. Ao contrário das cargas de trabalho tradicionais que executam a lógica predeterminada, os agentes de IA tomam decisões dinâmicas e adaptam o comportamento, o que requer construções de identidade criadas com finalidade com controles de governança mais fortes.
ID do agente Microsoft Entra fornece esses constructos por meio de identidades de agente. As identidades de agente oferecem patrocínio humano obrigatório, governança do ciclo de vida — desde o provisionamento até a desativação — e gerenciamento em escala, que aplica políticas de segurança centralizadas a todas as instâncias de agente de um determinado tipo. Para obter mais informações, consulte visão geral de segurança da IA do Microsoft Entra.
Próximas etapas
- Obtenha respostas para perguntas frequentes sobre identidades de carga de trabalho.