当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] Azure AD 中的客户端机密管理概述

作者:精品下载站 日期:2024-12-14 08:37:19 浏览:11 分类:玩电脑

Azure AD 中的客户端机密管理概述


在这个日益数字化的世界中,确保安全?是全球组织面临的一项重大挑战。为了解决这个问题,多重身份验证 (MFA) 成为无敌的盾牌,通过多层保护强化 Microsoft 365。虽然 MFA 管理为 Microsoft 365 提供了强大的安全性,但为 Azure 应用提供身份验证技术也同样重要。希望包括客户端秘密身份验证在内的某些方法能够促进与 Azure 应用程序身份验证过程的握手。这个有趣的博客将带您了解 Azure AD 中客户端机密管理的详细信息,解锁机密以保护您的应用程序并帮助您做好应对数字威胁的准备。

让我们探索?安全身份验证的核心,并揭示 Azure AD 客户端机密管理的真正威力。

“网络安全不仅仅是 IT 问题”
- Stephane Nappo

Azure AD 中的客户端密钥是什么?

客户端密钥是一种身份验证技术,它使用 Azure 应用程序中的字符串值而不是证书来表示身份。它也称为应用程序密码,用于对 Azure 应用程序访问的令牌进行身份验证。成功验证客户端密钥后,Azure AD 会颁发令牌来访问所需的资源。

警告:由于秘密存储的挑战,它被认为不如基于证书的身份验证安全。证书凭据因其增强的安全功能而被视为高安全环境。

Azure AD 中的客户端机密管理

通过以下步骤,您可以在 Azure AD 门户中管理应用程序的客户端密钥。您可以根据您的需要遵循适当的管理操作。首先,请确保登录Microsoft Entra 管理中心

  • 从 Azure 应用程序注册获取客户端密钥
  • 为应用程序创建 Azure 客户端密钥
  • 使用 PowerShell 在 Azure AD 中创建客户端密钥
  • 检查并更新 Azure AD 中的客户端密钥过期
  • 从 Azure 应用程序删除客户端密钥

从 Azure 应用注册获取客户端密钥

要为 Azure 应用程序生成客户端密钥,您需要在 Microsoft Entra 管理中心内执行以下步骤。

1. 前往“身份”选项卡并选择“应用程序”。

2. 选择“应用程序”选项卡下的“应用程序注册”。

3. 选择要查看客户端密钥配置的所需应用程序。

[玩转系统] Azure AD 中的客户端机密管理概述

4. 在相应的应用程序菜单中,选择“证书和机密”选项卡。

5. 您可以在“客户端密钥”选项卡中查看客户端密钥配置列表。

[玩转系统] Azure AD 中的客户端机密管理概述

为应用程序创建 Azure 客户端密钥

要为 Azure 应用程序创建客户端密钥,请导航到如上所述的“客户端密钥”选项卡,然后按照以下步骤操作。

1. 单击“新客户端密钥”按钮并输入客户端密钥的适当描述。

2. 在下拉列表中选择到期日期,然后单击“添加”按钮。在这里,你可以指定 Azure 门户中客户端密钥的最长过期时间为 24 个月。但借助 PowerShell,您可以将过期时间设置为 24 个月以上。

[玩转系统] Azure AD 中的客户端机密管理概述

注意:成功创建客户端密钥后,复制密钥的“Value”并保留它以供将来的活动使用。一旦页面刷新,客户端密钥值就会消失。定期身份验证、令牌更新、密钥保管库链接等可能需要此值。

使用 PowerShell 在 Azure AD 中创建客户端密钥

您可以使用以下 PowerShell cmdlet 在 Azure Active Directory 中创建 2 年以上或没有过期(最多 9999 年)的客户端机密。在执行 cmdlet 之前,请确保连接到 Microsoft Graph PowerShell,范围为“Application.ReadWrite.All”。

Add-MgApplicationPassword -ApplicationId <AppObjectId> -PasswordCredential @{
DisplayName=<ClientSecretDescription>; EndDateTime=[DateTime]::ParseExact("12/31/9999","MM/dd/yyyy",$null)}

[玩转系统] Azure AD 中的客户端机密管理概述

将 替换为 Azure AD 应用程序的相应对象 ID,并将“12/31/9999”替换为适当的到期日期。您可以从相应应用程序的“Overview”页面获取对象 ID。另外,将 替换为客户端密钥的相应描述。

[玩转系统] Azure AD 中的客户端机密管理概述

检查并更新 Azure AD 中的客户端密钥过期

如果客户端密钥过期,用户将无法访问或登录应用程序门户,并将看到错误页面。在 Azure 门户中,您可以在“客户端密钥”页面上验证客户端密钥的过期时间。如果证书已过期,则会显示消息“证书或密钥已过期。 Azure 门户中将显示“创建新的”。

如果过期,可以在 Azure 门户(最长 2 年)或使用 PowerShell(长期)生成新的客户端密钥。但请注意,此机密在过期日期后无法续订。

注意:创建新密钥以防过期时,请务必更新配置或应用代码以使用新密钥。

从 Azure 应用程序中删除客户端密钥

在极少数情况下,必须删除客户端机密以防止未经授权访问您的资源。客户端密钥过期后还需要将其删除。要删除客户端机密,请使用“客户端机密”页面上相应客户端机密所在的删除图标,然后选择“”。

[玩转系统] Azure AD 中的客户端机密管理概述

客户端机密身份验证的替代方案

除了客户端机密之外,Azure Active Directory 还提供两种内置保护策略来保护应用程序的功能。另外两个替代方案是:

基于证书的身份验证:在 Azure 应用身份验证中,证书称为公钥。当用户请求访问应用时,此证书可通过机密证明应用的身份。例如,您可以使用证书身份验证(而不是管理员身份验证)连接到 Microsoft Graph PowerShell

联合凭据身份验证:将信任与外部 OIDC-Open ID 连接相结合,联合凭据允许其他身份模拟应用程序。联合身份验证允许您获取令牌来访问 Azure 和 Microsoft Graph。

我希望该博客为您提供了 Azure AD 中客户端密钥管理的概述,以优化安全性。请随时在评论部分留下您的疑问。我们很高兴?为您提供帮助。敬请关注!

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

关灯