Рекомендация Microsoft Entra: продление срока действия учетных данных субъекта-службы (предварительная версия)
Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.
В этой статье рассматриваются рекомендации по продлению учетных данных субъекта-службы с истекающим сроком действия. Эта рекомендация вызывается servicePrincipalKeyExpiry
в API рекомендаций в Microsoft Graph.
Description
Субъект-служба Microsoft Entra — это локальное представление объекта приложения в одном клиенте или каталоге. Субъект-служба определяет, кто может получить доступ к приложению и каким ресурсам может получить доступ к приложению. Проверка подлинности субъектов-служб часто выполняется с использованием учетных данных сертификата, которые имеют срок действия. Если срок действия учетных данных истекает, приложение не может пройти проверку подлинности в клиенте.
Эта рекомендация отображается, если у вашего клиента есть субъекты-службы с учетными данными, срок действия которого истекает в ближайшее время.
Значение
Продление учетных данных субъекта-службы до истечения срока действия гарантирует, что приложение продолжает функционировать и снижает вероятность простоя из-за истечения срока действия учетных данных.
План действий
Выберите имя приложения из списка затронутых ресурсов , чтобы перейти непосредственно на страницу единого входа для выбранного приложения.
a. Кроме того, перейдите к приложениям Identity>Applications>Enterprise. Состояние субъекта-службы отображается в столбце состояния истечения срока действия сертификата.
b. Используйте поле поиска в верхней части списка, чтобы найти приложение, которое было указано в рекомендации.
c. Выберите субъект-службу с учетными данными, которые необходимо повернуть, а затем в боковом меню выберите единый вход .
Измените раздел сертификата подписи SAML и следуйте инструкциям по добавлению нового сертификата.
После добавления сертификата измените его свойства, чтобы сделать сертификат активным, что делает другой сертификат неактивным.
После успешного добавления и активации сертификата обновите код службы, чтобы убедиться, что он работает с новыми учетными данными и не негативно влияет на клиентов.
Используйте журналы входа Microsoft Entra, чтобы проверить, соответствует ли идентификатор ключа сертификата недавно отправлен.
- Перейдите в журналы> входа субъекта-службы Microsoft Entra.
- Откройте сведения о связанном входе и проверка, что тип учетных данных клиента — "Секрет клиента", а идентификатор ключа учетных данных соответствует вашим учетным данным.
После проверки новых учетных данных вернитесь в область единого входа для приложения и удалите старые учетные данные.
Использование Microsoft Graph для продления учетных данных субъекта-службы с истекающим сроком действия
Microsoft Graph можно использовать для обновления учетных данных службы с истекающим сроком действия программным способом. Сведения о начале работы см. в статье "Использование Microsoft Graph с рекомендациями Microsoft Entra".
При продлении учетных данных субъекта-службы с помощью Microsoft Graph необходимо выполнить запрос, чтобы получить учетные данные пароля для субъекта-службы, добавить новые учетные данные пароля, а затем удалить старые учетные данные.
Выполните следующий запрос в Microsoft Graph, чтобы получить учетные данные пароля в субъекте-службе:
https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
- Замените {id} идентификатором субъекта-службы.
Добавьте новые учетные данные пароля.
- Использование действия службы API субъекта-службы Microsoft Graph
addPassword
- servicePrincipal: документация по API MS Graph для addPassword
- Использование действия службы API субъекта-службы Microsoft Graph
Удалите старые и исходные учетные данные.
- Использование действия службы API субъекта-службы Microsoft Graph
removePassword
- servicePrincipal: документация по API MS Graph removePassword
- Использование действия службы API субъекта-службы Microsoft Graph
Известные ограничения
Эта рекомендация определяет учетные данные субъекта-службы, срок действия которых истекает. Если срок действия истекает, рекомендация не различает срок действия учетных данных самостоятельно или если вы ее рассмотрели.
Учетные данные субъекта-службы, истекающие до завершения рекомендации, завершаются системой.
В настоящее время рекомендация не отображает учетные данные секрета пароля в субъекте-службе при выборе затронутого ресурса из списка.
Идентификатор, показанный в списке затронутых ресурсов, предназначен для приложения, а не субъекта-службы.
Следующие шаги
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по