Generación de tokens de prueba de posesión para claves graduales

Puede usar los métodos addKey y removeKey definidos en los recursos aplicación y servicePrincipal para poner en servicio las claves de expiración mediante programación.

Como parte de la validación de solicitud de estos métodos, se verifica una prueba de posesión de una clave existente antes de que se puedan invocar los métodos. La prueba se representa mediante un token de JWT autofirmado. Este token de JWT debe estar firmado con la clave privada de uno de los certificados válidos existentes de la aplicación. La duración del token no debe superar los 10 minutos.

Nota: Las aplicaciones que no tienen ningún certificado válido existente (aún no se han agregado certificados o todos los certificados han expirado), no pueden usar esta acción de servicio. En su lugar, puede usar la operación Actualizar aplicación para realizar una actualización.

El token debe contener las siguientes notificaciones:

• aud: el público debe ser 00000002-0000-0000-c000-000000000000.
• iss: El emisor debe ser el identificador de la aplicación o el objeto servicePrincipal que inicia la solicitud.
• nbf: no antes de la hora.
• exp: el tiempo de expiración debe ser el valor de nbf + 10 minutos.

Puede usar los siguientes ejemplos de código para generar este token de prueba de posesión.

C#

using System;
using System.Collections.Generic;
using System.Security.Cryptography.X509Certificates;
using Microsoft.IdentityModel.Tokens;
using Microsoft.IdentityModel.JsonWebTokens;

namespace MicrosoftIdentityPlatformProofTokenGenerator
{
    class Program
    {
        static void Main(string[] args)
        {
            // Configure the following
            string pfxFilePath = "<Path to your certificate file";
            string password = "<Certificate password>";
            string objectId = "<id of the application or servicePrincipal object>";

            // Get signing certificate
            X509Certificate2 signingCert = new X509Certificate2(pfxFilePath, password);

            // audience
            string aud = $"00000002-0000-0000-c000-000000000000";

            // aud and iss are the only required claims.
            var claims = new Dictionary<string, object>()
            {
                { "aud", aud },
                { "iss", objectId }
            };

            // token validity should not be more than 10 minutes
            var now = DateTime.UtcNow;
            var securityTokenDescriptor = new SecurityTokenDescriptor
            {
                Claims = claims,
                NotBefore = now,
                Expires = now.AddMinutes(10),
                SigningCredentials = new X509SigningCredentials(signingCert)
            };

            var handler = new JsonWebTokenHandler();
            var x = handler.CreateToken(securityTokenDescriptor);
            Console.WriteLine(x);
        }
    }
}

PowerShell

Requisito previo

• Tener un certificado de cliente válido. En este ejemplo se usa un certificado autofirmado con fines de demostración. Para obtener información sobre cómo crear un certificado autofirmado, consulte Creación de un certificado público autofirmado para autenticar la aplicación. En el ejemplo vinculado:
  • La variable $cert almacena el certificado en la sesión actual y le permite exportarlo.
  • Exporte el certificado con una clave privada en .pfx formato.

# $PfxFilePath represents the path to which you exported the .pfx certificate. 
# $ObjectID is the ID of the service principal or the application for which you are running the addKey or removeKey action that requires this proof of possession token.

param (
    [Parameter(Mandatory = $true)]
    [string]$PfxFilePath,
    
    [SecureString]$Password = (Read-Host 'Provide Certificate Password' -AsSecureString),
    
    [Parameter(Mandatory = $true)]
    [string]$ObjectID
)

# install the following Microsoft Graph PowerShell modules
Install-Module Microsoft.Graph.Authentication -Scope CurrentUser
Import-Module Microsoft.Graph.Authentication

# audience
$aud = "00000002-0000-0000-c000-000000000000"

# aud and iss are the only required claims.
$claims = [System.Collections.Generic.Dictionary[string,object]]::new()
$claims.aud = $aud
$claims.iss = $objectId

# token validity should not be more than 10 minutes
$now = (Get-Date).ToUniversalTime()
$securityTokenDescriptor = [Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor]@{
    Claims = $claims
    NotBefore = $now
    Expires = $now.AddMinutes(10)
    SigningCredentials = [Microsoft.IdentityModel.Tokens.X509SigningCredentials]::new($cert)
}
$handler = [Microsoft.IdentityModel.JsonWebTokens.JsonWebTokenHandler]::new()
$token = $handler.CreateToken($securityTokenDescriptor)
Write-Output $token

También puede generar la prueba mediante la firma en Azure KeyVault. Es importante tener en cuenta que el carácter de relleno '=' no debe incluirse en el encabezado JWT y la carga o se devolverá un error de Authentication_MissingOrMalformed .

Contenido relacionado

Ahora que tiene su token de prueba de posesión, puede usarlo para:

• Agregue una clave o quite una clave de la aplicación.
• Agregue una clave o quite una clave de la entidad de servicio.