สวัสดีครับทุกท่าน สำหรับบทความนี้ผมอยากจะนำเสนอเรื่องราวของ Identity ซึ่งถือว่าเป็นสิ่งที่หลายๆ ท่านรวมถึงตัวผมจะต้องเข้าไปเกี่ยวข้องไม่มากก็น้อยครับ สำหรับเรื่องของ Identity ในบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับ "Microsoft Entra Workload ID" ครับ ซึ่งจะตัวของ Microsoft Entra Workload ID นี้ก็จะเกี่ยวข้อง Service หนึ่งที่ทำหน้าที่ในการบริหารจัดการ Identity ครับ โดย Service นี้มีชื่อว่า "Microsoft Entra ID" นั่นเองครับ และอย่างที่เราทราบกันว่า Microsoft Entra ID นั้นถือว่าเป็น Service หลักและเป็น Service ที่สำคัญสำหรับองค์กรที่นำเอา Clouds ของ Microsoft เข้ามาประยุกต์ใช้งาน ไม่ว่าจะเป็น Microsoft 365, Microsoft Azure, เป็นต้น เราจะต้องเข้าไปเกี่ยวข้องและใช้งาน Microsoft Entra ID แน่นอนครับ นอกจากนี้แล้วตัวของ Microsoft Entra ID ยังมีความสามารถในการทำงานร่วมกับ "Active Directory Domain Service" หรือ AD DS ซึ่งเป็น Role หนึ่งของ Windows Server (Domain Controller) เพื่อทำ Hybrid Identity (Single Sign-On หรือ SSO) ท่านใดที่สนใจหรืออยากรู้จัก Microsoft Entra ID สามารถย้อนไปอ่านบทความก่อนหน้านี้ของผมได้ครับ และเพื่อไม่ให้เป็นการเสียเวลาเรามาทำความรู้จักกับ Microsoft Entra Workload ID กันเลยครับ
Microsoft Entra Workload ID คืออะไร?
Microsoft Entra Workload ID คือ Identity ชนิดหนึ่ง (ซึ่งในความเป็นจริงแล้วใน Microsoft Entra ID มี Identity หลากหลายรูปแบบ เช่น Microsoft Entra ID Accounts, Microso Entra External ID, เป็นต้น) ที่เราทำการกำหนด (Assign) ให้กับ Software Workloads (Application, Service, Script, และ Container) เพื่อทำการ Authenticate และ Authorize (เข้าถึง Resources ต่างๆ) และโดยส่วนใหญ่แล้วเราจะพิจารณาใช้ Microsoft Entra Workload ID กับ Software Workloads ตามที่เกริ่นไว้ข้างต้น ตัวอย่างของการใช้งาน Microsoft Entra Workload ID เช่น เราต้องการให้ GitHub Actions เข้าถึงหรือ Access Microsoft Azure Subscription, ใช้ในการเข้าถึงหรือ Access Microsoft Graph, หรือใช้ Microsoft Entra Workload ID เป็น AWS Service Role กับ EC2 เพื่อเข้าถึงข้อมูลใน Amazon S3 Bucket เป็นต้น
ถ้าเรามองและทำความเข้าใจในมุมเทคนิคที่เกี่ยวข้องระหว่าง Microsoft Entra ID กับ Microsoft Entra Workload ID สามารถอธิบายได้ว่า Microsoft Entra Workload ID (Identities) คือ
- Application คือ Application ที่ถูก Developed ขึ้นเพื่อใช้งานและนำเอา Application ดังกล่าวนี้มา Integrate กับ Microsoft Entra ID (เพื่อทำ Authentication และ Authorization)
- Service Principal*
- Managed Identity*
*รายละเอียดของ Service Principal, และ Managed Identity คืออะไร ทุกท่านสามารถอ่านบทความนี้ได้ครับ, WT Blog (ITGeist): รูปแบบต่างๆ ของ Identity ใน Microsoft Entra ID (itgeist5blog.blogspot.com)
นอกจากนี้แล้วถ้าเรามองในภาพรวมแบบ High-Level ที่เกี่ยวข้องกับ Identity เรายังสามารถแบ่งออกเป็น 2 แบบ คือ
1. Machine Identities (Non-Human Identities) คือ Identity ที่แสดงถึงหรือใช้กับสิ่งที่ไม่ใช่มนุษย์หรือ Human ครับ โดย Machine Identities แบ่งออกเป็น 2 ชนิด (อ้างอิงตามรูปด้านบน) คือ 1. Workload Identities (เช่น Applications) และ 2. Device Identities คือ Desktop, Mobile, IoT Sensors และ IoT Managed Devices, เป็นต้น
2. Human Identities คือ Identity ที่แสดงถึงหรือใช้กับมนุษย์หรือ Human เช่น พนังงานขององค์กร, ลูกค้า, ที่ปรึกษา, และอื่นๆ
สิ่งที่ต้องพิจารณาในการบริหารจัดการและใช้งาน Identity ทั้ง 2 แบบ (Machine และ Human Identities) เรื่องหนึ่งเลยที่จะต้องพิจารณาคือ เรื่องของความปลอดภัย เพราะ Identity ทั้ง 2 แบบ เมื่อถูกนำเอาไปใช้งานจะมีลักษณะที่แตกต่างกัน เช่น ในกรณีของ Human Identities นั้น, จะมีลักษณะเป็น Single Identity และทำการเข้าถึง Resources ต่างๆ ในขณะที่ Machine หรือ Non-Human Identities คือ Software Workloads (Application, Services, และอื่นๆ) ที่มาพร้อมกับหลายๆ Credentials และต้องการเข้าถึง Resources ที่แตกต่างกันทั้งนี้ขึ้นอยู่กับความต้องการครับ ดังนั้นเราจะต้องวางแผนและเตรียมการในเรื่องของการ Secure และ Protect Identities ต่างๆ ของ Microsoft Entra ID โดยมีอาจจะนำเอาฟีเจอร์หรือ Services ตัวอื่นๆ เข้ามาช่วยในเรื่องนี้ ยกตัวอย่างเช่น Microsoft Entra Conditional Access, Microsoft Entra ID Protection, เป็นต้น
รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra Workload ID สามารถไปที่ Link นี้ได้เลยครับผม, Microsoft Entra Workload ID | Microsoft Security
และทั้งหมดนี้คือเรื่องราวของ Microsoft Entra Workload ID ที่ผมนำฝากทุกท่านครับผม.....