Recomendação do Microsoft Entra: Renovar credenciais da entidade de serviço que expiram (visualização)
As recomendações do Microsoft Entra são um recurso que fornece informações personalizadas e orientações acionáveis para alinhar seu locatário com as práticas recomendadas recomendadas.
Este artigo aborda a recomendação para renovar as credenciais da entidade de serviço que expiram. Essa recomendação é chamada servicePrincipalKeyExpiry
na API de recomendações no Microsoft Graph.
Description
Uma entidade de serviço do Microsoft Entra é a representação local de um objeto de aplicativo em um único locatário ou diretório. A entidade de serviço define quem pode acessar um aplicativo e quais recursos o aplicativo pode acessar. A autenticação de entidades de serviço geralmente é concluída usando credenciais de certificado, que têm uma vida útil. Se as credenciais expirarem, o aplicativo não poderá ser autenticado com seu locatário.
Essa recomendação aparece se o locatário tiver entidades de serviço com credenciais que expirarão em breve.
Value
A renovação da(s) credencial(is) da entidade de serviço antes da expiração garante que o aplicativo continue a funcionar e reduz a possibilidade de tempo de inatividade devido a uma credencial expirada.
Plano de ação
Selecione o nome do aplicativo na lista de Recursos afetados para ir diretamente para a página Aplicativos corporativos - Logon único para o aplicativo selecionado.
a. Como alternativa, navegue até Identity>Applications>Enterprise applications. O status da entidade de serviço aparece na coluna Status de Expiração do Certificado.
b. Use a caixa de pesquisa na parte superior da lista para encontrar o aplicativo listado na recomendação.
c. Selecione a entidade de serviço com a credencial que precisa ser girada e, em seguida, selecione Logon único no menu lateral.
Edite a seção de certificado de assinatura SAML e siga as instruções para adicionar um novo certificado.
Depois de adicionar o certificado, altere suas propriedades para torná-lo ativo, o que torna o outro certificado inativo.
Depois que o certificado for adicionado e ativado com êxito, atualize o código de serviço para garantir que ele funcione com a nova credencial e não afete negativamente os clientes.
Use os logs de entrada do Microsoft Entra para validar se a ID da chave do certificado corresponde à que foi carregada recentemente.
- Vá para Logs>de entrada do Microsoft Entra Entradas da entidade de serviço.
- Abra os detalhes de um início de sessão relacionado e verifique se o tipo de credencial do Cliente é "Segredo do cliente" e se o ID da chave de credencial corresponde à sua credencial.
Depois de validar a nova credencial, navegue de volta para a área de logon único do aplicativo e remova a credencial antiga.
Usar o Microsoft Graph para renovar as credenciais da entidade de serviço que expiram
Você pode usar o Microsoft Graph para renovar credenciais de serviço que expiram programaticamente. Para começar, consulte Como usar o Microsoft Graph com recomendações do Microsoft Entra.
Ao renovar as credenciais da entidade de serviço usando o Microsoft Graph, você precisa executar uma consulta para obter as credenciais de senha em uma entidade de serviço, adicionar uma nova credencial de senha e remover as credenciais antigas.
Execute a seguinte consulta no Microsoft Graph para obter as credenciais de senha em uma entidade de serviço:
https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
- Substitua {id} pelo ID da entidade de serviço.
Adicione uma nova credencial de senha.
- Usar a ação de serviço da API Principal do Serviço Microsoft Graph
addPassword
- servicePrincipal: documentação da API addPassword MS Graph
- Usar a ação de serviço da API Principal do Serviço Microsoft Graph
Remova as credenciais antigas/originais.
- Usar a ação de serviço da API Principal do Serviço Microsoft Graph
removePassword
- servicePrincipal: documentação da API do MS Graph removePassword
- Usar a ação de serviço da API Principal do Serviço Microsoft Graph
Limitações conhecidas
Esta recomendação identifica as credenciais da entidade de serviço que estão prestes a expirar. Se eles expirarem, a recomendação não fará distinção entre a credencial expirando por conta própria ou se você a abordou.
As credenciais da entidade de serviço que expiram antes que a recomendação seja concluída são concluídas pelo sistema.
Atualmente, a recomendação não exibe a credencial secreta de senha na entidade de serviço quando você seleciona um recurso Afetado na lista.
A ID mostrada na lista de recursos afetados é para o aplicativo, não para a entidade de serviço.