Uwierzytelnianie interfejsu API REST eaSM usługi Defender

Każde wywołanie interfejsu API REST wykonywane względem zasobu Zarządzanie zewnętrznym obszarem podatnym na ataki w usłudze Microsoft Defender (Defender EASM) musi zawierać nagłówek autoryzacji zawierający prawidłowy token elementu nośnego Azure AD. Ten token służy do określania, kim jest obiekt wywołujący i do czego mają dostęp w zasobie. Token może być generowany za pośrednictwem interaktywnego przepływu uwierzytelniania użytkownika lub jednostki usługi klienta.

Przepływ uwierzytelniania użytkownika

Scenariusz uwierzytelniania użytkownika jest przydatny w celach testowych i programistycznych, ale może nie być wykonalny w przypadku niektórych scenariuszy obsługi skryptów. Generowanie tokenu za pośrednictwem uwierzytelniania użytkownika wymaga interaktywnego przepływu związanego z logowaniem za pośrednictwem przeglądarki. Wszystkie akcje zakładają użycie interfejsu azure Command-Line (CLI).

  1. Zaloguj się do dzierżawy. Ten krok spowoduje uruchomienie przeglądarki internetowej w celu wykonania odpowiednich kroków logowania.

    az login --tenant <tenant id>

  2. Wygeneruj skojarzony token dla odpowiedniego zakresu zasobów. Ten token jest używany w nagłówku Uwierzytelnianie.

    Płaszczyzna sterowania

    az account get-access-token

    Płaszczyzna danych

    az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'

Jednostka usługi klienta

Scenariusz jednostki usługi klienta jest przydatny w przypadku procesów w tle (takich jak skrypty), które wymagają generowania tokenu "na żądanie". Generowanie tokenu za pośrednictwem jednostki usługi klienta wymaga zarejestrowania aplikacji przy użyciu skojarzonego klucza tajnego klienta i odpowiednich mechanizmów kontroli dostępu do subskrypcji:

  1. Utwórz aplikację za pośrednictwem sekcji Rejestracje aplikacji portalu.
  2. W sekcji Certyfikaty i wpisy tajne kliknij pozycję Nowy klucz tajny klienta, wprowadź wymagane informacje i wygeneruj wpis tajny. Pamiętaj, aby skopiować wygenerowaną wartość, ponieważ stanie się ona niedostępna po opuszczeniu sekcji.
  3. Otwórz subskrypcję, w której będzie używana jednostka.
  4. W sekcji Access Control (IAM) kliknij pozycję Dodaj —> Dodaj przypisanie roli.
  5. Wybierz rolę Współautor , a następnie kliknij przycisk Dalej.
  6. Kliknij pozycję Wybierz członków, wyszukaj aplikację zarejestrowaną w kroku 1, wybierz aplikację, a następnie kliknij pozycję Wybierz.
  7. Kliknij przycisk Dalej, przejrzyj informacje, aby upewnić się, że są poprawne, a następnie kliknij pozycję Przejrzyj i przypisz.

Po skonfigurowaniu aplikacji skojarzony token może zostać wygenerowany przy użyciu identyfikatora klienta (aplikacji) i wpisu tajnego. Wszystkie akcje zakładają użycie interfejsu azure Command-Line (CLI).

  1. Zaloguj się do jednostki usługi.

    az login --service-principal -u <client id> -p <client secret> --tenant <tenant id>

  2. Wygeneruj skojarzony token dla odpowiedniego zakresu zasobów. Ten token jest używany w nagłówku Uwierzytelnianie.

    Płaszczyzna sterowania

    az account get-access-token

    Płaszczyzna danych

    az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'
  • Last updated on