Aanbeveling voor Microsoft Entra: Verlopende referenties voor service-principal vernieuwen (preview)

Microsoft Entra-aanbevelingen zijn een functie die u persoonlijke inzichten en bruikbare richtlijnen biedt om uw tenant af te stemmen op aanbevolen aanbevolen procedures.

In dit artikel wordt de aanbeveling beschreven voor het vernieuwen van verlopen service-principalreferenties. Deze aanbeveling wordt aangeroepen servicePrincipalKeyExpiry in de aanbevelingen-API in Microsoft Graph.

Beschrijving

Een Microsoft Entra-service-principal is de lokale weergave van een toepassingsobject in één tenant of map. De service-principal definieert wie toegang heeft tot een toepassing en tot welke resources de toepassing toegang heeft. Verificatie van service-principals wordt vaak voltooid met behulp van certificaatreferenties, die een levensduur hebben. Als de referenties verlopen, kan de toepassing niet worden geverifieerd met uw tenant.

Deze aanbeveling wordt weergegeven als uw tenant service-principals heeft met referenties die binnenkort verlopen.

Weergegeven als

Als u de referenties van de service-principal verlengt voordat de vervaldatum verloopt, zorgt u ervoor dat de toepassing blijft functioneren en de kans op uitvaltijd vermindert vanwege een verlopen referentie.

Actieplan

1. Selecteer de naam van de toepassing in de lijst met betrokken resources om rechtstreeks naar de bedrijfstoepassingen te gaan: eenmalige aanmeldingspagina voor de geselecteerde toepassing.

   a. U kunt ook bladeren naar Bedrijfstoepassingen voor identiteitstoepassingen>>. De status van de service-principal wordt weergegeven in de kolom Status van certificaatverloop.

   b. Gebruik het zoekvak boven aan de lijst om de toepassing te vinden die in de aanbeveling is vermeld.

   c. Selecteer de service-principal met de referentie die moet worden gedraaid en selecteer vervolgens Eenmalige aanmelding in het zijmenu.

2. Bewerk de sectie SAML-handtekeningcertificaat en volg de aanwijzingen om een nieuw certificaat toe te voegen.

   

3. Nadat u het certificaat hebt toegevoegd, wijzigt u de eigenschappen om het certificaat actief te maken, waardoor het andere certificaat inactief wordt.

4. Zodra het certificaat is toegevoegd en geactiveerd, werkt u de servicecode bij om ervoor te zorgen dat het werkt met de nieuwe referentie en geen negatieve invloed heeft op klanten.

5. Gebruik de aanmeldingslogboeken van Microsoft Entra om te controleren of de sleutel-id van het certificaat overeenkomt met de id die onlangs is geüpload.

   • Ga naar aanmeldingslogboeken>van Microsoft Entra voor service-principal-aanmeldingen.
   • Open de details voor een gerelateerde aanmelding en controleer of het clientreferentietype 'Clientgeheim' is en of de referentiesleutel-id overeenkomt met uw referenties.

6. Nadat u de nieuwe referentie hebt geverifieerd, gaat u terug naar het gebied voor eenmalige aanmelding voor de app en verwijdert u de oude referentie.

Microsoft Graph gebruiken om verlopen service-principalreferenties te vernieuwen

U kunt Microsoft Graph gebruiken om verlopen servicereferenties programmatisch te vernieuwen. Zie Microsoft Graph gebruiken met Microsoft Entra-aanbevelingen om aan de slag te gaan.

Wanneer u referenties voor de service-principal vernieuwt met Microsoft Graph, moet u een query uitvoeren om de wachtwoordreferenties op te halen voor een service-principal, een nieuwe wachtwoordreferentie toevoegen en vervolgens de oude referenties verwijderen.

1. Voer de volgende query uit in Microsoft Graph om de wachtwoordreferenties op te halen voor een service-principal:

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • Vervang {id} door de service-principal-id.

2. Voeg een nieuwe wachtwoordreferentie toe.

   • De Service Principal-API-actie van Microsoft Graph gebruiken addPassword
   • servicePrincipal: documentatie voor addPassword MS Graph API

3. Verwijder de oude/oorspronkelijke referenties.

   • De Service Principal-API-actie van Microsoft Graph gebruiken removePassword
   • servicePrincipal: ms Graph API-documentatie voor removePassword

Bekende beperkingen

• Deze aanbeveling identificeert referenties van de service-principal die binnenkort verlopen. Als ze verlopen, maakt de aanbeveling geen onderscheid tussen de referentie die op zichzelf verloopt of als u deze hebt geadresseerd.

• Referenties van de service-principal die verlopen voordat de aanbeveling is voltooid, worden voltooid door het systeem.

• In de aanbeveling wordt momenteel niet de referentie voor het wachtwoordgeheim weergegeven in de service-principal wanneer u een betrokken resource in de lijst selecteert.

• De id die wordt weergegeven in de lijst met betrokken resources , is bedoeld voor de toepassing niet voor de service-principal.

Volgende stappen

• Bekijk het overzicht van microsoft Entra-aanbevelingen
• Meer informatie over het gebruik van Microsoft Entra-aanbevelingen
• De Microsoft Graph API-eigenschappen voor aanbevelingen verkennen
• Meer informatie over het beveiligen van service-principals