Recomendación de Microsoft Entra: Renovar las credenciales de entidad de servicio por expirar (versión preliminar)

Las Recomendaciones de Microsoft Entra son una característica que proporciona información personalizada e instrucciones prácticas para que su inquilino siga los procedimientos recomendados.

En este artículo se describe la recomendación de renovar las credenciales de entidad de servicio que expiran. Esta recomendación se llama servicePrincipalKeyExpiry en la API de recomendaciones de Microsoft Graph.

Descripción

Una entidad de servicio de Microsoft Entra es la representación local de un objeto de aplicación en un único inquilino o directorio. La entidad de servicio define quién puede acceder a una aplicación y a qué recursos puede acceder la aplicación. La autenticación de entidades de servicio a menudo se completa con credenciales de certificado, que tienen una duración de vida útil. Si las credenciales expiran, la aplicación no puede autenticarse con el inquilino.

Esta recomendación se muestra si el inquilino tiene entidades de servicio con credenciales que expirarán pronto.

Valor

La renovación de las credenciales de la entidad de servicio antes de que expiren garantiza que la aplicación siga funcionando y reduce la posibilidad de tiempo de inactividad debido a una credencial expirada.

Plan de acción

1. Seleccione el nombre de la aplicación en la lista de recursos afectados para ir directamente a la página Aplicaciones empresariales: inicio de sesión único de la aplicación seleccionada.

   a. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales. El estado de la entidad de servicio aparece en la columna Estado de expiración del certificado.

   b. Use el cuadro de búsqueda de la parte superior de la lista para buscar la aplicación que se incluyó en la recomendación.

   c. Seleccione la entidad de servicio con la credencial que debe rotarse y, después, seleccione Inicio de sesión único en el menú lateral.

2. Edite la sección Certificado de firma de SAML y siga las indicaciones para agregar un nuevo certificado.

   

3. Después de agregar el certificado, cambie sus propiedades para activar el certificado, lo que hace que el otro certificado está inactivo.

4. Una vez que el certificado se haya agregado y activado correctamente, actualice el código de servicio para asegurarse de que funciona con la nueva credencial y no afecta negativamente a los clientes.

5. Use los registros de inicio de sesión de Microsoft Entra para validar que el id. de clave del certificado coincida con el que se cargó recientemente.

   • Vaya a Microsoft Entra registros de inicio de sesión>Inicios de sesión de la entidad de servicio.
   • Abra los detalles de un inicio de sesión relacionado y compruebe que el tipo de credencial de cliente es "Secreto de cliente" y que el id. de clave de credencial coincide con la credencial.

6. Después de validar la nueva credencial, vuelva al área Inicio de sesión único de la aplicación y quite la credencial anterior.

Uso de Microsoft Graph para renovar las credenciales de entidad de servicio que expiran

Puede usar Microsoft Graph para renovar las credenciales del servicio que expiran mediante programación. Para empezar, consulte Uso de Microsoft Graph con recomendaciones de Microsoft Entra.

Al renovar las credenciales de la entidad de servicio mediante Microsoft Graph, debe ejecutar una consulta para obtener las credenciales de contraseña en una entidad de servicio, agregar una nueva credencial de contraseña y, a continuación, quitar las credenciales antiguas.

1. Ejecute la siguiente consulta en Microsoft Graph para obtener las credenciales de contraseña en una entidad de servicio:

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • Reemplace {id} por el id. de la entidad de servicio.

2. Agregar una nueva credencial de contraseña.

   • Uso de la acción de servicio de la API de entidad de servicio de Microsoft Graph addPassword
   • servicePrincipal: documentación de MS Graph API addPassword

3. Quite las credenciales antiguas o originales.

   • Uso de la acción de servicio de la API de entidad de servicio de Microsoft Graph removePassword
   • servicePrincipal: documentación de MS Graph API removePassword

Limitaciones conocidas

• Esta recomendación identifica las credenciales de la entidad de servicio que están a punto de expirar. Si expiran, la recomendación no distingue entre que la credencial expire por sí sola o si usted la soluciona.

• El sistema completa las credenciales de entidad de servicio que expiran antes de que se complete la recomendación.

• Actualmente, la recomendación no muestra la credencial secreta de contraseña en la entidad de servicio al seleccionar un recurso afectado en la lista.

• El id. que se muestra en la lista de recursos afectados corresponde a la aplicación, no a la entidad de servicio.

Pasos siguientes

• Revisión de la introducción a las recomendaciones de Microsoft Entra
• Aprender a usar las recomendaciones de Microsoft Entra
• Exploración de las propiedades de Microsoft Graph API para obtener recomendaciones
• Obtenga información sobre la protección de entidades de servicio