Azure AD SPN和UPN？

Question

我想了解在Azure广告上下文中SPN和UPN之间的区别。我的理解是在Azure AD中有三种方法来建立身份

1. 用户在用户名和密码中输入以建立身份
2. 利用ClientId和密钥建立身份的应用程序
3. 使用ClientId和证书建立身份的应用程序

用户/密码是否被称为UPN & rest 2被称为SPN？还有其他方法来建立身份吗？

Answer 1

在Azure中，UPN是用户的主要名称。它总是以看上去像电子邮件地址的格式。从本质上讲，它有三个部分。用户名、分隔符(即@符号)和UPN后缀或域名。它的主要用途是在身份验证期间使用，并表示用户身份。

SPN是服务的主要名称。服务主体对象定义应用程序的策略和权限，为安全主体在运行时访问资源时表示应用程序提供了基础。与在您自己的凭据(用户身份)下运行应用程序相比，App标识(服务主体)更可取，因为：

1. 您可以为与您自己的权限不同的应用程序标识分配权限。通常，这些权限只限于应用程序需要做的事情。
2. 如果您的职责发生变化，您不必更改应用程序的凭据。
3. 在执行无人参与的脚本时，可以使用证书自动进行身份验证。

您可以使用密码或证书创建服务主体，如您所示。请单击这里获取有关Azure Active中的应用程序和服务主体对象的详细信息，并单击这里以了解如何使用门户创建可以访问资源的Azure Active应用程序和服务主体。您可以在左侧导航面板上选择其他方式(例如PowerShell/CLI)。