Guide pratique pour renouveler la clé symétrique dans Azure Information Protection

  • Article

Important

Les versions du Kit de développement logiciel (SDK) du service Microsoft Rights Management publiées avant mars 2020 sont déconseillées; les applications utilisant des versions antérieures doivent être mises à jour pour utiliser la version de mars 2020. Pour plus d’informations, consultez l’avis de dépréciation.

Aucune amélioration supplémentaire n’est prévue pour le Kit de développement logiciel (SDK) du service Microsoft Rights Management. Nous vous recommandons vivement d’adopter le kit SDK Protection des données Microsoft pour la classification, l’étiquetage et les services de protection.

Une clé symétrique est un secret qui chiffre et déchiffre un message dans le chiffrement par clé symétrique.

Dans Azure AD (Azure Active Directory), quand vous créez un objet principal de service pour représenter une application, le processus génère également une clé symétrique 256 bits pour vérifier l’application. Par défaut, cette clé symétrique est valable un an.

Les étapes suivantes montrent comment renouveler la clé symétrique.

Prérequis

Renouvellement de la clé symétrique après expiration

Vous n’êtes pas obligé de créer un principal de service quand la clé symétrique associée à votre application a expiré. En effet, vous pouvez utiliser les applets de commande PowerShell fournies par MSol (Microsoft Online Services) qui vous permettront d’émettre une nouvelle clé symétrique pour un principal de service existant.

Pour illustrer ce processus, supposons que vous avez déjà créé un principal de service à l’aide de la commande New-MsolServicePrincipal.

New-MsolServicePrincipalCredential -ServicePrincipalName "SupportExampleApp"

Le processus de création crée une clé symétrique et un AppPrincipalId comme indiqué.

The following symmetric key was created as one was not supplied
ZYbF/lTtwE28qplQofCpi2syWd11D83+A3DRlb2Jnv8=

DisplayName : SupportExampleApp
ServicePrincipalNames : {7d9c1f38-600c-4b4d-8249-22427f016963}
ObjectId : 0ee53770-ec86-409e-8939-6d8239880518
AppPrincipalId : 7d9c1f38-600c-4b4d-8249-22427f016963
TrustedForDelegation : False
AccountEnabled : True
Addresses : []
KeyType : Symmetric
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify

Cette clé symétrique expire le 22/03/2018 à 15:27:53. Pour utiliser le principal de service après cette date, vous devez renouveler la clé symétrique. Pour ce faire, utilisez la commande New-MsolServicePrincipalCredential.

New-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963

Elle crée une clé symétrique pour l’élément AppPrincipalId spécifié.

The following symmetric key was created as one was not supplied ON8YYaMYNmwSfMX625Ei4eC6N1zaeCxbc219W090v28-

Vous pouvez utiliser la commande GetMsolServicePrincipalCredential pour vérifier que la nouvelle clé symétrique est associée au principal de service approprié comme indiqué. Notez que la commande liste toutes les clés actuellement associées au principal de service.

Get-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963 -ReturnKeyValues $true

Type : Symmetric
Value :
KeyId : c1ac145f-e899-4c90-8a02-2cef40054fc5
StartDate : 3/24/2017 10:11:07 PM
EndDate : 3/24/2018 10:11:07 PM
Usage : Verify

Type : Symmetric
Value :
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify

Une fois que vous avez vérifié que la clé symétrique est effectivement associée au principal de service approprié, vous pouvez mettre à jour les paramètres d’authentification du principal de service avec la nouvelle clé.

Vous pouvez ensuite supprimer l’ancienne clé symétrique à l’aide de la commande Remove-MsolServicePrincipalCredential et vérifier que la clé est supprimée à l’aide de la commande Get-MsolServicePrincipalCredential.

Remove-MsolServicePrincipalCredential -KeyId acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe -ObjectId 0ee53770-ec86-409e-8939-6d8239880518