Recomendação do Microsoft Entra: renovar credenciais de entidade de serviço expiradas (versão prévia)

As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.

Este artigo aborda a recomendação para renovar as credenciais da entidade de serviço expiradas. Essa recomendação é chamada de servicePrincipalKeyExpiry na API de recomendações do Microsoft Graph.

Descrição

Uma entidade de serviço é a representação local de um objeto de aplicativo em um locatário único do Microsoft Entra. A entidade de serviço define quem pode acessar um aplicativo e quais recursos o aplicativo pode acessar. A autenticação das entidades de serviço geralmente é concluída usando credenciais de certificado, que têm um tempo de vida útil. Se as credenciais expirarem, o aplicativo não poderá se autenticar com seu locatário.

Essa recomendação aparecerá se o locatário tiver entidades de serviço com credenciais que expirarão em breve.

Valor

A renovação de credencial(s) da entidade de serviço antes da expiração garante que o aplicativo continue funcionando e reduz a possibilidade de tempo de inatividade devido a uma credencial expirada.

Plano de ação

1. Selecione o nome do aplicativo na lista de Recursos afetados para ir diretamente para a página Aplicativos empresariais - Logon único do aplicativo selecionado.

   a. Navegue até Identidade>Aplicativos>Aplicativos Empresariais. O status da entidade de serviço aparece na coluna Status de Expiração do Certificado.

   b. Use a caixa de pesquisa na parte superior da lista para localizar o aplicativo listado na recomendação.

   c. Selecione a entidade de serviço com a credencial que precisa ser rotacionada e, em seguida, selecione Logon único no menu lateral.

2. Edite a seção do Certificado de autenticação SAML e siga as instruções para adicionar um novo certificado.

   

3. Depois de adicionar o certificado, altere suas propriedades para tornar o certificado ativo, o que torna o outro certificado inativo.

4. Assim que o certificado for adicionado e ativado com êxito, atualize o código de serviço para garantir que funcione com a nova credencial e não afete negativamente os clientes.

5. Use os logs de entrada do Microsoft Entra para validar se a ID da chave do certificado corresponde àquela que foi carregada recentemente.

   • Acesse Logs de entrada do Microsoft Entra>Entradas da entidade de serviço.
   • Abra os detalhes de uma entrada relacionada e verifique se o Tipo de credencial do cliente é "Segredo do cliente" e se a ID da chave de credencial corresponde à sua credencial.

6. Depois de validar a nova credencial, volte para a área de Logon único do aplicativo e remova a credencial antiga.

Use o Microsoft Graph para renovar as credenciais da entidade de serviço expiradas

Você pode usar o Microsoft Graph para renovar as credenciais de serviço expiradas programaticamente. Para começar, consulte Como usar o Microsoft Graph com as recomendações do Microsoft Entra.

Ao renovar as credenciais da entidade de serviço usando o Microsoft Graph, você precisa executar uma consulta para obter as credenciais de senha em uma entidade de serviço, adicionar uma nova credencial de senha e remover as credenciais antigas.

1. Execute a seguinte consulta no Microsoft Graph para obter as credenciais de senha em uma entidade de serviço:

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • Substitua {id} pela ID da entidade de serviço.

2. Adicione uma nova credencial de senha.

   • Use a ação de serviço de API da Entidade de Serviço do Microsoft Graph addPassword
   • servicePrincipal: addPassword documentação da API do MS Graph

3. Remova as credenciais antigas/originais.

   • Use a ação de serviço de API da Entidade de Serviço do Microsoft Graph removePassword
   • servicePrincipal: removePassword documentação da API do MS Graph

Limitações conhecidas

• Essa recomendação identifica as credenciais da entidade de serviço que estão prestes a expirar. Se elas expirarem, a recomendação não fará distinção entre a credencial expirando por conta própria ou se você a abordou.

• As credenciais da entidade de serviço que expiram antes que a recomendação seja concluída são concluídas pelo sistema.

• Atualmente, a recomendação não exibe a credencial secreta de senha na entidade de serviço quando você seleciona um Recurso afetado na lista.

• A ID mostrada na lista de Recursos afetados é para o aplicativo, não para a entidade de serviço.

Próximas etapas

• Examinar a visão geral das recomendações do Microsoft Entra
• Saiba como usar as recomendações do Microsoft Entra
• Explore as propriedades da API do Microsoft Graph para obter recomendações
• Saiba mais sobre como proteger as entidades de serviço