• 15.02.2021
  • 4 minute de citit

In acest articol

Un director de serviciu Azure Active Directory (Azure AD) este reprezentarea locala a unui obiect de aplicatie intr-un singur chirias sau director. Functioneaza ca identitate a instantei aplicatiei. Directorii de servicii definesc cine poate accesa aplicatia si ce resurse poate accesa aplicatia. Un director de serviciu este creat in fiecare locatar unde este utilizata aplicatia si face referire la obiectul aplicatiei unic la nivel global. Locatarul asigura conectarea si accesul la resurse al directorului de serviciu.

Relatii principale chirias-serviciu

O cerere cu un singur chirias are un singur serviciu principal in chiriasul sau de acasa. O aplicatie web cu mai multi chiriasi sau API necesita un director de serviciu in fiecare chirias. Un director de serviciu este creat atunci cand un utilizator din acel chirias a consimtit la utilizarea aplicatiei sau a API-ului. Acest consimtamant creeaza o relatie unu-la-multi intre aplicatia multi-chirias si directorii de servicii asociati.

O aplicatie multi-chirias este gazduita intr-un singur chirias si este conceputa pentru a avea instante in alti chiriasi. Majoritatea aplicatiilor software-as-a-service (SaaS) sunt concepute pentru inchiriere multipla. Utilizati principalele de servicii pentru a asigura o pozitie de securitate potrivita pentru aplicatie si pentru utilizatorii acesteia, atat in ​​cazurile de utilizare cu un singur chirias, cat si cu mai multi chiriasi.

ApplicationID si ObjectID

O instanta data a aplicatiei are doua proprietati distincte: ApplicationID (cunoscut si sub numele de ClientID) si ObjectID.

Nota

Este posibil sa constatati ca termenii aplicatie si principal de serviciu sunt folositi in mod interschimbabil atunci cand se refera in mod vag la o aplicatie in contextul sarcinilor legate de autentificare. Cu toate acestea, acestea sunt doua reprezentari diferite ale aplicatiilor in Azure AD.

ApplicationID reprezinta aplicatia globala si este acelasi pentru toate instantele aplicatiei de la chiriasi. ObjectID este o valoare unica pentru un obiect de aplicatie. Ca si in cazul utilizatorilor, grupurilor si altor resurse, ObjectID ajuta la identificarea unica a unei instante de aplicatie in Azure AD.

Pentru informatii mai detaliate despre acest subiect, consultati Relatia principala intre aplicatii si servicii.

De asemenea, puteti crea o aplicatie si obiectul sau principal de serviciu (ObjectID) intr-un chirias utilizand Azure PowerShell, Azure CLI, Microsoft Graph, portalul Azure si alte instrumente.

follada real coños calientes
videos porno peruano fiestas porno
follate a mi novia porno tv
porno en cine convencional porni
porno trans amas de casa follando
cine para adultos gratis pornox
miriam sanchez videos porno española follando
peliculas eroticas gratis en español porno fiestas
maduritas cachondas incesto x
abuela porno largeporntube
videos porno casero españa tias corriendose
videos eroticos italianos todoporno
casadas muy putas pilladas desnudas
folladas extremas madresxxx
follada en tanga maduras folladoras
maduras peludas españolas maduras en la playa
incesto subtitulado español mujer masturbandose
follar abuelas masturbaciones
gordibuenas españolas p0rno
porno gratis anal michelle jenner desnuda

Autentificare principala a serviciului

Exista doua mecanisme pentru autentificare utilizand principalele de servicii – certificate de client si secrete de client.

Certificatele sunt mai sigure: utilizati certificate de client, daca este posibil. Spre deosebire de secretele clientului, certificatele clientului nu pot fi incorporate accidental in cod. Folositi Azure Key Vault pentru gestionarea certificatelor si secretelor atunci cand este posibil pentru a cripta urmatoarele active utilizand chei protejate de module de securitate hardware:

  • chei de autentificare

  • chei de cont de stocare

  • chei de criptare a datelor

  • fisiere .pfx

  • parole

Pentru mai multe informatii despre Azure Key Vault si despre cum sa il utilizati pentru certificat si gestionarea secreta, consultati Despre Azure Key Vault si Alocati o politica de acces Key Vault utilizand portalul Azure.

Provocari si atenuari

Tabelul urmator prezinta atenuari la provocarile pe care le puteti intalni atunci cand utilizati principalii de servicii.

Provocari Atenuari Recenzii de acces pentru directorii de servicii alocati rolurilor privilegiate. Aceasta functionalitate este in previzualizare si nu este inca disponibila pe scara larga. Verifica accesul directorilor serviciului Verificare manuala a listei de control al accesului resurselor utilizand portalul Azure. Peste principii de serviciu autorizati Cand creati conturi de servicii de automatizare sau sau directori de servicii, furnizati numai permisiunile necesare pentru sarcina. Evaluati directorii de servicii existenti pentru a vedea daca puteti reduce privilegiile. Identificati modificarile aduse acreditatilor directorilor de servicii sau metodelor de autentificare Utilizati registrul de lucru Sensitive Operations Report, care poate ajuta la atenuarea acestei probleme. Vezi explicatia din aceasta postare pe blog.

Gasiti conturi folosind principalii de servicii

Rulati urmatoarele comenzi pentru a gasi conturi utilizand principalii de servicii.

Utilizarea Azure CLI

az ad sp list

Folosind PowerShell

Get-AzureADServicePrincipal -All: $ true

Pentru mai multe informatii, consultati Get-AzureADServicePrincipal

Evalueaza securitatea principalului serviciu

Pentru a evalua securitatea directorilor de servicii, asigurati-va ca evaluati privilegiile si stocarea acreditarilor.

Atenuati potentialele provocari folosind urmatoarele informatii.

Provocari Atenuari Detectati utilizatorul care a consimtit la o aplicatie multi-chiriasi si detectati acordari de consimtamant ilicite pentru o aplicatie multi-chiriasi Rulati urmatorul PowerShell pentru a gasi aplicatii multi-chiriasi.

Get-AzureADServicePrincipal -All: $ true? {$ _. Tag – uri -eq WindowsAzureActiveDirectoryIntegratedApp “}

Dezactivati consimtamantul utilizatorului.

Permite consimtamantul utilizatorilor din partea editorilor verificate, pentru permisiuni selectate (recomandat)

Utilizati accesul conditionat pentru a bloca principalele de servicii din locatii de incredere. Configurati-le in contextul utilizatorului, iar jetoanele acestora ar trebui utilizate pentru a declansa principalul serviciului. Utilizarea unui secret partajat codat intr-un script folosind un director de serviciu. Utilizati un certificat sau seiful cheii Azure. Urmarirea persoanei care utilizeaza certificatul sau secretul Monitorizeaza conectarile principalului de serviciu utilizand jurnalele de conectare Azure AD. Nu se poate gestiona conectarea directorilor de servicii cu acces conditionat. Monitorizati conectarile utilizand jurnalele de conectare Azure AD Rolul implicit Azure RBAC este Contributor. Evalueaza nevoile si aplica rolul cu cele mai putine permisiuni posibile pentru a satisface acea nevoie.

Treceti de la un cont de utilizator la un director de serviciu

Daca utilizati un cont de utilizator Azure ca principal de serviciu, evaluati daca puteti trece la o identitate gestionata sau la un director de serviciu. Daca nu puteti utiliza o identitate gestionata, furnizati un principal de serviciu care are doar suficiente permisiuni si domeniu pentru a rula sarcinile necesare. Puteti crea un director de serviciu prin inregistrarea unei aplicatii sau cu PowerShell.

Cand utilizati Microsoft Graph, verificati documentatia API-ului specific, ca in acest exemplu, si asigurati-va ca tipul de permisiune pentru aplicatie este afisat ca fiind acceptat.

Pasii urmatori

Pentru a afla mai multe despre directorii de servicii:

Creati un director de serviciu

Monitorizeaza conectarile principale ale serviciului

Pentru a afla mai multe despre securizarea conturilor de servicii:

Introducere in conturile de servicii Azure

Securizarea identitatilor gestionate

Guvernarea conturilor de serviciu Azure

Introducere in conturile de servicii locale

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR