Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cada llamada a la API REST que se realiza en un recurso de Administración de superficie expuesta a ataques externos de Microsoft Defender (EASM de Defender) debe incluir un encabezado authorization que contenga un token de portador de Azure AD válido. Este token se usa para determinar quién es el autor de la llamada y a qué tienen acceso dentro del recurso. El token se puede generar a través de un flujo de autenticación de usuario interactivo o una entidad de servicio de cliente.
Flujo de autenticación de usuario
El escenario de autenticación de usuario es útil para pruebas y desarrollo, pero puede que no sea factible para determinados escenarios de scripting. La generación de un token a través de la autenticación de usuario requiere un flujo interactivo que implica iniciar sesión a través de un explorador. Todas las acciones asumen el uso de la interfaz de Azure Command-Line (CLI).
Inicie sesión en el inquilino. Este paso iniciará un explorador web para realizar los pasos de inicio de sesión adecuados.
az login --tenant <tenant id>Genere un token asociado para el ámbito de recurso adecuado. Este token se usa en el encabezado Autenticación.
Plano de controlaz account get-access-tokenPlano de datos
az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'
Entidad de servicio de cliente
El escenario de entidad de servicio de cliente es útil para procesos en segundo plano (como scripts) que requieren la generación de tokens "a petición". La generación de un token a través de una entidad de servicio de cliente requiere que una aplicación se registre con un secreto de cliente asociado y los controles de acceso de suscripción adecuados:
- Cree una aplicación a través de la sección Registros de aplicaciones del portal.
- En la sección Certificados y secretos , haga clic en Nuevo secreto de cliente, escriba la información necesaria y genere el secreto. Asegúrese de copiar el valor generado, ya que dejará de estar disponible una vez que deje la sección.
- Abra la suscripción en la que se usará la entidad de seguridad.
- En la sección Access Control (IAM), haga clic en Agregar-> Agregar asignación de roles.
- Seleccione el rol Colaborador y, a continuación, haga clic en Siguiente.
- Haga clic en Seleccionar miembros, busque la aplicación registrada en el paso 1, seleccione la aplicación y, a continuación, haga clic en Seleccionar.
- Haga clic en Siguiente, revise la información para asegurarse de que es correcta y, a continuación, haga clic en Revisar y asignar.
Una vez configurada la aplicación, se puede generar un token asociado mediante el identificador y el secreto del cliente (aplicación). Todas las acciones asumen el uso de la interfaz de Azure Command-Line (CLI).
Inicie sesión en la entidad de servicio.
az login --service-principal -u <client id> -p <client secret> --tenant <tenant id>Genere un token asociado para el ámbito de recurso adecuado. Este token se usa en el encabezado Autenticación.
Plano de controlaz account get-access-tokenPlano de datos
az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'