Procedimentos: como renovar a chave simétrica no Azure Information Protection
Importante
As versões do Microsoft Rights Management Service SDK lançadas antes de março de 2020 são depreciadas; as aplicações que utilizam versões anteriores devem ser atualizadas para utilizar a versão de março de 2020. Para mais detalhes, consulte o aviso de depreciação.
Não estão previstas mais melhorias para o Microsoft Rights Management Service SDK. Recomendamos vivamente a adoção do Proteção de Informações da Microsoft SDK para serviços de classificação, rotulagem e proteção.
Uma chave simétrica é um segredo que encripta e desencripta uma mensagem na criptografia de chave simétrica.
No Azure Active Directory (Azure AD), quando cria um objeto do principal de serviço para representar uma aplicação, o processo também gera uma chave simétrica de 256 bits para verificar a aplicação. Por predefinição, esta chave simétrica é válida durante um ano.
Os passos seguintes mostram como renovar a chave simétrica.
Pré-requisitos
- O módulo do PowerShell do Azure Active Directory (Azure AD) tem de estar instalado conforme indicado na Referência do PowerShell do Azure AD.
Renovar a chave simétrica depois da expiração
Não precisa de criar um novo principal de serviço quando a chave simétrica associada à sua aplicação tiver expirado. Em alternativa, pode utilizar os cmdlets do PowerShell fornecidos pelo Microsoft Online Services (MSol) para emitir uma nova chave simétrica para um principal de serviço existente.
Para ilustrar este processo, vamos partir do princípio que já criou um novo principal de serviço com o comando New-MsolServicePrincipal.
New-MsolServicePrincipalCredential -ServicePrincipalName "SupportExampleApp"
O processo de criação cria uma chave simétrica e um AppPrincipalId conforme apresentado.
The following symmetric key was created as one was not supplied
ZYbF/lTtwE28qplQofCpi2syWd11D83+A3DRlb2Jnv8=
DisplayName : SupportExampleApp
ServicePrincipalNames : {7d9c1f38-600c-4b4d-8249-22427f016963}
ObjectId : 0ee53770-ec86-409e-8939-6d8239880518
AppPrincipalId : 7d9c1f38-600c-4b4d-8249-22427f016963
TrustedForDelegation : False
AccountEnabled : True
Addresses : []
KeyType : Symmetric
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify
Esta chave simétrica expira em 3/22/2018 às 15:27:53. Para utilizar o principal de serviço para além deste tempo, precisa renovar a chave simétrica. Para tal, use o comando New-MsolServicePrincipalCredential.
New-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963
Esta ação cria uma nova chave simétrica para o AppPrincipalId especificado.
The following symmetric key was created as one was not supplied ON8YYaMYNmwSfMX625Ei4eC6N1zaeCxbc219W090v28-
Pode utilizar o comando GetMsolServicePrincipalCredential para verificar se a nova chave simétrica está associada ao principal de serviço correto conforme apresentado. Note que o comando lista todas as chaves que estão atualmente associadas ao principal serviço.
Get-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963 -ReturnKeyValues $true
Type : Symmetric
Value :
KeyId : c1ac145f-e899-4c90-8a02-2cef40054fc5
StartDate : 3/24/2017 10:11:07 PM
EndDate : 3/24/2018 10:11:07 PM
Usage : Verify
Type : Symmetric
Value :
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify
Assim que tiver verificado que a chave simétrica está associada ao principal de serviço correto, pode atualizar os parâmetros de autenticação do principal de serviço com a nova chave.
Em seguida, pode remover a chave simétrica antiga com o comando Remove-MsolServicePrincipalCredential e verificar se a chave foi removida com o comando Get-MsolServicePrincipalCredential.
Remove-MsolServicePrincipalCredential -KeyId acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe -ObjectId 0ee53770-ec86-409e-8939-6d8239880518