Использование идентификатора приложения для автоматизации переноса ключа дешифрования SSO Kerberos

Question

Я хотел бы автоматизировать перенос ключей описания Kerberos, используемых для бесшовного единого входа. При этом я не могу использовать учетные записи ПОЛЬЗОВАТЕЛЕЙ глобального администратора, поскольку они могут подвергаться атакам со спреем (я не могу использовать идентификаторы доменов, так как доменов так много, и поэтому мне придется создавать так много глобальных администраторов). Я думаю, что используя идентификатор приложения и сертификаты, я могу безопасно автоматизировать эту работу.

Проблема в том, что каждый пример кода, который я смог найти, использует «AuthenticationContext». Примерно так:

New-AzureADSSOAuthenticationContext -CloudCredentials $CloudCredentials
Update-AzureADSSOForest -OnPremCredentials $OnpremCredentials

Можно ли использовать идентификаторы приложений для автоматизации этого процесса? И если это так, как мне его кодировать?

Спасибо за вашу помощь.

Answer 1

Боюсь, вы не могли использовать для этого субъекта службы (т. Е. Идентификатор приложения).

В настоящее время мы можем просто использовать учетные данные администратора домена и глобального администратора клиента в запланированной задаче.

Вы можете обратиться к этому образцу :

# Requirements:
# Microsoft Online Services Sign-In Assistant.
# 64-bit Azure Active Directory module for Windows PowerShell.

$CloudUser = 'service_account@domain.com'
$CloudEncrypted = Get-Content "C:\Scripts\Cloud_Encrypted_Password.txt" | ConvertTo-SecureString
$CloudCred = New-Object System.Management.Automation.PsCredential($CloudUser,$CloudEncrypted)
$OnpremUser = 'DOMAIN\service_account'
$OnpremEncrypted = Get-Content "C:\Scripts\Onprem_Encrypted_Password.txt" | ConvertTo-SecureString
$OnpremCred = New-Object System.Management.Automation.PsCredential($OnpremUser,$OnpremEncrypted)

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AzureADSSO.psd1'
New-AzureADSSOAuthenticationContext -CloudCredentials $CloudCred
Update-AzureADSSOForest -OnPremCredentials $OnpremCred

---

Помимо , Azure Команда также работает над автоматизацией, см. обратная связь:

https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/33773926-automate-seamless-sso-kerberos-decryption-key-roll