【发布时间】:2020-10-02 21:04:15
【问题描述】:
Azure 服务主体默认有到期日期,需要轮换。
但是有没有办法使服务主体失效或强制到期?
【问题讨论】:
-
您可以删除客户端密码
标签: azure azure-active-directory service-principal
【发布时间】:2020-10-02 21:04:15
【问题描述】:
服务主体进行身份验证时使用的凭据可以存储在服务主体本身或支持应用程序对象(即“应用注册”)中。
目前不支持更改现有凭据的到期日期。如果您希望禁用凭据,则应将其删除。 (如果您想重新启用它,只需将其作为授权凭据重新添加即可。)
从应用程序中删除凭据(应用程序注册)
使用 Azure 门户
使用 Azure AD PowerShell
致remove a key credential(证书):
Remove-AzureADApplicationKeyCredential -ObjectId "{id}" -KeyId "{key-id}"
致remove a password credential(客户机密):
Remove-AzureADApplicationPasswordCredentia -ObjectId "{id}" -KeyId "{key-id}"
使用 Microsoft Graph
致remove a key credential(证书):
POST https://graph.microsoft.com/v1.0/applications/{id}/removePassword
Content-type: application/json
{
"keyId": "{key-id}"
}
致remove a password credential(客户机密):
POST https://graph.microsoft.com/v1.0/applications/{id}/removePassword
Content-type: application/json
{
"keyId": "{key-id}"
}
从服务主体中删除凭据
使用 Azure 门户
目前无法使用 Azure 门户管理直接存储在服务主体上的凭据。
使用 Azure AD PowerShell
致remove a key credential(证书):
Remove-AzureADServicePrincipalKeyCredential -ObjectId "{id}" -KeyId "{key-id}"
致remove a password credential(客户机密):
Remove-AzureADMSApplicationPassword -ObjectId "{id}" -KeyId "{key-id}"
使用 Microsoft Graph
致remove a key credential(证书):
POST https://graph.microsoft.com/v1.0/servicePrincipals/{id}/removeKey
Content-type: application/json
{
"keyId": "{key-id}"
}
致remove a password credential(客户机密):
POST https://graph.microsoft.com/v1.0/servicePrincipals/{id}/removePassword
Content-type: application/json
{
"keyId": "{key-id}"
}
【讨论】:
-
推断您的图片中显示的到期日期是否正确 - [2020 年 11 月 18 日] - 无法控制/修改?例如 - 有没有办法让我在不删除凭证的情况下缩短它的有效性?
-
不,您不能这样做,您必须删除它并使用不同的到期时间再次添加它。您能分享一下为什么要强制到期(而不仅仅是删除它)吗?
-
想要检查是否存在生存时间 - 由其他 3rd 方集成生成的凭据提供的对此级别的控制。感谢您的结论性回答!
-
“如果您想重新启用它,您可以简单地将其添加回作为授权凭据” - 我该怎么做?