Практическое руководство. Продление симметричного ключа в Azure Information Protection
Важно!
Версии пакета SDK службы microsoft Rights Management, выпущенные до марта 2020 г., устарели; для использования выпуска за март 2020 г. необходимо обновить приложения, использующие более ранние версии. Полные сведения см. в уведомлении об устаревании.
Для пакета SDK службы Microsoft Rights Management не планируется никаких дополнительных улучшений. Мы настоятельно рекомендуем внедрить пакет SDK Microsoft Information Protection для классификации, маркировки и защиты.
Симметричный ключ — это секрет, используемый для шифрования и дешифрования сообщений в технологии шифрования на основе симметричного ключа.
В Azure Active Directory (Azure AD) при создании объекта участника-службы для представления приложения также создается 256-разрядный симметричный ключ для проверки приложения. Этот симметричный ключ действителен в течение одного года по умолчанию.
Ниже показано, как обновить симметричный ключ.
Предварительные требования
- Необходимо установить модуль Azure Active Directory (Azure AD) PowerShell, как указано в справочнике по Azure AD PowerShell.
Продление симметричного ключа после истечения срока действия
После истечения срока действия симметричного ключа, связанного с приложением, создавать новый субъект-службу не требуется. Вместо этого можно воспользоваться командлетами PowerShell, предоставляемыми Microsoft Online Services (MSol), для выдачи нового симметричного ключа для существующего субъекта-службы.
Чтобы продемонстрировать процесс, предположим, что субъект-служба уже создан с помощью команды New-MsolServicePrincipal.
New-MsolServicePrincipalCredential -ServicePrincipalName "SupportExampleApp"
В процессе создается симметричный ключ и AppPrincipalId, как показано ниже.
The following symmetric key was created as one was not supplied
ZYbF/lTtwE28qplQofCpi2syWd11D83+A3DRlb2Jnv8=
DisplayName : SupportExampleApp
ServicePrincipalNames : {7d9c1f38-600c-4b4d-8249-22427f016963}
ObjectId : 0ee53770-ec86-409e-8939-6d8239880518
AppPrincipalId : 7d9c1f38-600c-4b4d-8249-22427f016963
TrustedForDelegation : False
AccountEnabled : True
Addresses : []
KeyType : Symmetric
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify
Срок действия этого симметричного ключа истекает 22.03.2018 в 15:27:53. Чтобы продолжить использование субъекта-службы после этого срока, обновите симметричный ключ. Это можно сделать с помощью команды New-MsolServicePrincipalCredential.
New-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963
Будет создан симметричный ключ для указанного AppPrincipalId.
The following symmetric key was created as one was not supplied ON8YYaMYNmwSfMX625Ei4eC6N1zaeCxbc219W090v28-
Можно использовать команду GetMsolServicePrincipalCredential, чтобы проверить, что новый симметричный ключ связан с правильным субъектом-службой, как показано ниже. Обратите внимание, что команда выводит список всех ключей, которые сейчас связаны с субъектом-службой.
Get-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963 -ReturnKeyValues $true
Type : Symmetric
Value :
KeyId : c1ac145f-e899-4c90-8a02-2cef40054fc5
StartDate : 3/24/2017 10:11:07 PM
EndDate : 3/24/2018 10:11:07 PM
Usage : Verify
Type : Symmetric
Value :
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify
Проверив, что симметричный ключ действительно связан с правильным субъектом-службой, можно обновить параметры проверки подлинности субъекта-службы с помощью нового ключа.
После этого можно удалить старый симметричный ключ, используя команду Remove-MsolServicePrincipalCredential, и проверить, что ключ удален с помощью команды Get-MsolServicePrincipalCredential.
Remove-MsolServicePrincipalCredential -KeyId acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe -ObjectId 0ee53770-ec86-409e-8939-6d8239880518