微软推出新Azure功能以降低身份验证中的安全风险

关键要点

微软推出了联邦身份凭证系统，旨在减少用户在多项服务中交付安全凭证信息的次数。用户只需在一个服务登录一次，就能无缝访问其他服务。此流程包括对来自GitHub、Kubernetes和其他第三方OIDC发行者的令牌支持。Entra平台不仅支持Azure服务，还能支持多个应用程序的安全身份管理。

微软最新发布的Azure功能旨在降低身份验证过程中的安全风险。联邦身份凭证系统的设计目的是通过减少用户在使用多个服务时交付安全凭证信息的次数，从而保护用户的信息安全。用户只需在一个服务进行一次登录便可以开始会话，之后即可无需再次交付安全登录凭证和证书便登录其他服务。

“这一过程被称为工作负载身份联邦流，支持来自GitHub、Kubernetes及其他第三方OIDC发行者的令牌。” 微软表示。

微软通过 Entra 推出 Azure 身份管理功能媒体

“通过这项新功能，应用程序还可以接受由Microsoft Entra发行的受管身份令牌。”

为了更具体地说明，在用户首次通过Microsoft Entra服务登录时，将会发放一个令牌。该令牌对于所有支持Microsoft Entra API的服务都是有效的。使用Entra可以减少用户多次交付秘密信息的需要，例如登录凭证或安全密钥信息，从而降低安全风险，减少威胁行为者获取秘密信息的机会。

优点描述减少凭证交付次数用户在多个服务中无需重复交付安全凭证，更加安全。增强的安全性通过受管身份凭证减少秘密管理的复杂性，提高安全性。支持多个平台包括Azure、Kubernetes和GitHub的服务和应用。

这种策略在身份管理领域越来越受到欢迎。 Okta最近将统一身份管理系统作为其未来商业计划的核心。

供应商们将身份管理解决方案视为其信息安全计划的中心部分，主要原因是使用单个令牌访问多个服务可以减少被劫持的可能性，并保护用户信息免受第三方供应商潜在的数据泄露。

在微软的案例中，Entra平台不仅包括Azure服务，还支持多个利用Kubernetes和GitHub的应用程序。

“使用Microsoft Entra ID应用程序进行用户身份验证、代表用户访问资源或执行跨租户访问的客户，可以通过采用受管身份作为联邦身份凭证来增强安全性。”微软指出。

“这种方法相比管理秘密、轮换证书和处理多个应用程序和受管身份的权限集，显得更加安全和稳健。”