Recomendação do Microsoft Entra: renovar credenciais de entidade de serviço expiradas (versão prévia)
As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.
Este artigo aborda a recomendação para renovar as credenciais da entidade de serviço expiradas. Essa recomendação é chamada de servicePrincipalKeyExpiry
na API de recomendações do Microsoft Graph.
Descrição
Uma entidade de serviço é a representação local de um objeto de aplicativo em um locatário único do Microsoft Entra. A entidade de serviço define quem pode acessar um aplicativo e quais recursos o aplicativo pode acessar. A autenticação das entidades de serviço geralmente é concluída usando credenciais de certificado, que têm um tempo de vida útil. Se as credenciais expirarem, o aplicativo não poderá se autenticar com seu locatário.
Essa recomendação aparecerá se o locatário tiver entidades de serviço com credenciais que expirarão em breve.
Valor
A renovação de credencial(s) da entidade de serviço antes da expiração garante que o aplicativo continue funcionando e reduz a possibilidade de tempo de inatividade devido a uma credencial expirada.
Plano de ação
Selecione o nome do aplicativo na lista de Recursos afetados para ir diretamente para a página Aplicativos empresariais - Logon único do aplicativo selecionado.
a. Navegue até Identidade>Aplicativos>Aplicativos Empresariais. O status da entidade de serviço aparece na coluna Status de Expiração do Certificado.
b. Use a caixa de pesquisa na parte superior da lista para localizar o aplicativo listado na recomendação.
c. Selecione a entidade de serviço com a credencial que precisa ser rotacionada e, em seguida, selecione Logon único no menu lateral.
Edite a seção do Certificado de autenticação SAML e siga as instruções para adicionar um novo certificado.
Depois de adicionar o certificado, altere suas propriedades para tornar o certificado ativo, o que torna o outro certificado inativo.
Assim que o certificado for adicionado e ativado com êxito, atualize o código de serviço para garantir que funcione com a nova credencial e não afete negativamente os clientes.
Use os logs de entrada do Microsoft Entra para validar se a ID da chave do certificado corresponde àquela que foi carregada recentemente.
- Acesse Logs de entrada do Microsoft Entra>Entradas da entidade de serviço.
- Abra os detalhes de uma entrada relacionada e verifique se o Tipo de credencial do cliente é "Segredo do cliente" e se a ID da chave de credencial corresponde à sua credencial.
Depois de validar a nova credencial, volte para a área de Logon único do aplicativo e remova a credencial antiga.
Use o Microsoft Graph para renovar as credenciais da entidade de serviço expiradas
Você pode usar o Microsoft Graph para renovar as credenciais de serviço expiradas programaticamente. Para começar, consulte Como usar o Microsoft Graph com as recomendações do Microsoft Entra.
Ao renovar as credenciais da entidade de serviço usando o Microsoft Graph, você precisa executar uma consulta para obter as credenciais de senha em uma entidade de serviço, adicionar uma nova credencial de senha e remover as credenciais antigas.
Execute a seguinte consulta no Microsoft Graph para obter as credenciais de senha em uma entidade de serviço:
https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
- Substitua {id} pela ID da entidade de serviço.
Adicione uma nova credencial de senha.
- Use a ação de serviço de API da Entidade de Serviço do Microsoft Graph
addPassword
- servicePrincipal: addPassword documentação da API do MS Graph
- Use a ação de serviço de API da Entidade de Serviço do Microsoft Graph
Remova as credenciais antigas/originais.
- Use a ação de serviço de API da Entidade de Serviço do Microsoft Graph
removePassword
- servicePrincipal: removePassword documentação da API do MS Graph
- Use a ação de serviço de API da Entidade de Serviço do Microsoft Graph
Limitações conhecidas
Essa recomendação identifica as credenciais da entidade de serviço que estão prestes a expirar. Se elas expirarem, a recomendação não fará distinção entre a credencial expirando por conta própria ou se você a abordou.
As credenciais da entidade de serviço que expiram antes que a recomendação seja concluída são concluídas pelo sistema.
Atualmente, a recomendação não exibe a credencial secreta de senha na entidade de serviço quando você seleciona um Recurso afetado na lista.
A ID mostrada na lista de Recursos afetados é para o aplicativo, não para a entidade de serviço.
Próximas etapas
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de