Raccomandazione di Microsoft Entra: Rinnovare le credenziali dell'entità servizio in scadenza (anteprima)
Le raccomandazioni di Microsoft Entra sono una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.
Questo articolo illustra la raccomandazione di rinnovare le credenziali dell'entità servizio in scadenza. Questa raccomandazione viene chiamata servicePrincipalKeyExpiry nell'API recommendations in Microsoft Graph.
Descrizione
Un'entità servizio Microsoft Entra è la rappresentazione locale di un oggetto applicazione in un singolo tenant o directory. L'entità servizio definisce chi può accedere a un'applicazione e a quali risorse l'applicazione può accedere. L'autenticazione delle entità servizio viene spesso completata usando le credenziali del certificato, che hanno una durata di vita. Se le credenziali scadono, l'applicazione non può eseguire l'autenticazione con il tenant.
Questa raccomandazione viene visualizzata se il tenant dispone di entità servizio con credenziali che scadranno a breve.
Valore
Il rinnovo delle credenziali dell'entità servizio prima della scadenza garantisce che l'applicazione continui a funzionare e riduce la possibilità di tempi di inattività dovuti a credenziali scadute.
Piano d'azione
Selezionare il nome dell'applicazione dall'elenco delle risorse interessate per passare direttamente alla pagina Applicazioni aziendali - Single Sign-On per l'applicazione selezionata.
a. In alternativa, passare a Applicazioni aziendali> di identità.> Lo stato dell'entità servizio viene visualizzato nella colonna Stato scadenza certificato.
b. Usare la casella di ricerca nella parte superiore dell'elenco per trovare l'applicazione elencata nella raccomandazione.
c. Selezionare l'entità servizio con le credenziali da ruotare e quindi selezionare Single Sign-On dal menu laterale.
Modificare la sezione certificato di firma SAML e seguire le istruzioni per aggiungere un nuovo certificato.
Dopo aver aggiunto il certificato, modificare le relative proprietà per rendere attivo il certificato, che rende l'altro certificato inattivo.
Dopo l'aggiunta e l'attivazione del certificato, aggiornare il codice del servizio per assicurarsi che funzioni con le nuove credenziali e non influisca negativamente sui clienti.
Usare i log di accesso di Microsoft Entra per verificare che l'ID chiave del certificato corrisponda a quello caricato di recente.
- Passare a Log>di accesso di Microsoft Entra Accessi entità servizio.
- Aprire i dettagli per un accesso correlato e verificare che il tipo di credenziale client sia "Segreto client" e che l'ID chiave credenziale corrisponda alle credenziali.
Dopo aver convalidato le nuove credenziali, tornare all'area Single Sign-On per l'app e rimuovere le credenziali precedenti.
Usare Microsoft Graph per rinnovare le credenziali dell'entità servizio in scadenza
È possibile usare Microsoft Graph per rinnovare le credenziali del servizio in scadenza a livello di codice. Per iniziare, vedere Come usare Microsoft Graph con le raccomandazioni di Microsoft Entra.
Quando si rinnovano le credenziali dell'entità servizio usando Microsoft Graph, è necessario eseguire una query per ottenere le credenziali della password in un'entità servizio, aggiungere una nuova credenziale della password e quindi rimuovere le credenziali precedenti.
Eseguire la query seguente in Microsoft Graph per ottenere le credenziali della password in un'entità servizio:
https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials- Sostituire {id} con l'ID entità servizio.
Aggiungere una nuova credenziale della password.
- Usare l'azione del servizio API dell'entità servizio Microsoft Graph
addPassword - servicePrincipal: documentazione dell'API MS Graph addPassword
- Usare l'azione del servizio API dell'entità servizio Microsoft Graph
Rimuovere le credenziali precedenti/originali.
- Usare l'azione del servizio API dell'entità servizio Microsoft Graph
removePassword - servicePrincipal: documentazione dell'API MS Graph removePassword
- Usare l'azione del servizio API dell'entità servizio Microsoft Graph
Limitazioni note
Questa raccomandazione identifica le credenziali dell'entità servizio che stanno per scadere. Se scadono, la raccomandazione non distingue tra le credenziali in scadenza autonomamente o se è stato risolto.
Le credenziali dell'entità servizio che scadono prima del completamento della raccomandazione vengono completate dal sistema.
La raccomandazione attualmente non visualizza le credenziali del segreto password nell'entità servizio quando si seleziona una risorsa interessata dall'elenco.
L'ID visualizzato nell'elenco delle risorse interessate è relativo all'applicazione non all'entità servizio.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per