Instrukcje: odnawianie klucza symetrycznego w usłudze Azure Information Protection
Ważne
Wersje zestawu Microsoft Rights Management Service SDK wydane przed marcem 2020 r. są przestarzałe; aplikacje korzystające z wcześniejszych wersji muszą zostać zaktualizowane w celu korzystania z wersji z marca 2020 r. Aby uzyskać szczegółowe informacje, zobacz powiadomienie o wycofaniu.
Zestaw SDK usługi Microsoft Rights Management nie planuje dalszych ulepszeń. Zdecydowanie zalecamy wdrożenie zestawu SDK Microsoft Information Protection na potrzeby klasyfikacji, etykietowania i usług ochrony.
Klucz symetryczny jest kluczem tajnym, który służy do szyfrowania i odszyfrowywania wiadomości w szyfrowaniu kluczem symetrycznym.
W usłudze Azure Active Directory (Azure AD) podczas tworzenia obiektu jednostki usługi w celu reprezentowania aplikacji proces generuje również 256-bitowy klucz symetryczny służący do weryfikowania aplikacji. Ten klucz symetryczny domyślnie jest ważny przez rok.
W poniższych krokach pokazano, jak odnowić klucz symetryczny.
Wymagania wstępne
- Moduł usługi Azure Active Directory (Azure AD) dla programu PowerShell musi być zainstalowany zgodnie ze wskazówkami podanymi w dokumentacji programu PowerShell usługi Azure AD.
Odnawianie klucza symetrycznego po wygaśnięciu
Nie trzeba tworzyć nowej jednostki usługi, gdy klucz symetryczny skojarzony z aplikacją utracił ważność. Zamiast tego można użyć poleceń cmdlet programu PowerShell udostępnianych w witrynie Microsoft Online Services (MSol), aby wystawić nowy klucz symetryczny dla istniejącej jednostki usługi.
Aby zilustrować ten proces, załóżmy, że już utworzono nową jednostkę usługi za pomocą polecenia New-MsolServicePrincipal.
New-MsolServicePrincipalCredential -ServicePrincipalName "SupportExampleApp"
Proces tworzenia tworzy klucz symetryczny i identyfikator AppPrincipalId, jak pokazano poniżej.
The following symmetric key was created as one was not supplied
ZYbF/lTtwE28qplQofCpi2syWd11D83+A3DRlb2Jnv8=
DisplayName : SupportExampleApp
ServicePrincipalNames : {7d9c1f38-600c-4b4d-8249-22427f016963}
ObjectId : 0ee53770-ec86-409e-8939-6d8239880518
AppPrincipalId : 7d9c1f38-600c-4b4d-8249-22427f016963
TrustedForDelegation : False
AccountEnabled : True
Addresses : []
KeyType : Symmetric
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify
Ten klucz symetryczny wygasa 22.03.2018 o 15:27:53. Aby użyć jednostki usługi w tym czasie, należy odnowić klucz symetryczny. Aby to zrobić, użyj polecenia New-MsolServicePrincipalCredential.
New-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963
Spowoduje to utworzenie nowego klucza symetrycznego dla określonego identyfikatora AppPrincipalId.
The following symmetric key was created as one was not supplied ON8YYaMYNmwSfMX625Ei4eC6N1zaeCxbc219W090v28-
Za pomocą polecenia GetMsolServicePrincipalCredential można sprawdzić, czy nowy klucz symetryczny jest skojarzony z poprawną jednostką usługi. Zwróć uwagę, że polecenie wyświetla listę wszystkich kluczy, które są obecnie skojarzone z jednostką usługi.
Get-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963 -ReturnKeyValues $true
Type : Symmetric
Value :
KeyId : c1ac145f-e899-4c90-8a02-2cef40054fc5
StartDate : 3/24/2017 10:11:07 PM
EndDate : 3/24/2018 10:11:07 PM
Usage : Verify
Type : Symmetric
Value :
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify
Po upewnieniu się, że klucz symetryczny jest faktycznie skojarzony z właściwą jednostką usługi, należy zaktualizować parametry uwierzytelniania jednostki usługi przy użyciu nowego klucza.
Następnie można usunąć stary klucz symetryczny za pomocą polecenia Remove-MsolServicePrincipalCredential i sprawdzić przy użyciu polecenia Get-MsolServicePrincipalCredential, czy klucz został usunięty.
Remove-MsolServicePrincipalCredential -KeyId acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe -ObjectId 0ee53770-ec86-409e-8939-6d8239880518