Tham gia Đăng nhập
Điểm:0
avatar Server

Chuyển đổi khóa giải mã Azure AD Kerberos; new-azureADSSOAuthenticationContext; sử dụng mã thông báo thay vì pscredential

lá cờ ae
John Ranger

Chúng tôi tự động thực hiện quy trình tái đầu tư khóa giải mã kerberos trong 30 ngày bằng cách sử dụng mật khẩu "được mã hóa" được lưu trữ trong tệp văn bản để tạo đối tượng PSCredential cần thiết cho lệnh Powershell new-azureADSSOAuthenticationContext.

Điều này hoạt động - nhưng tôi muốn cải thiện bảo mật chung và do đó muốn loại bỏ đối tượng PSCredential cho Quản trị viên toàn cầu của Đối tượng thuê của chúng tôi trên Azure.

Tôi đã thấy rằng lệnh new-azureADSSOAuthenticationContext cũng có thể được cung cấp bằng mã thông báo truy cập (thông qua tham số -token). Mã thông báo truy cập mà tôi có thể truy xuất bằng cách sử dụng chứng chỉ được lưu trữ trong cửa hàng chứng chỉ máy an toàn hơn nhiều bằng cách sử dụng "Get-MsalToken"

Cho đến nay, tôi đã tạo một ứng dụng Azure, đã gán cho SecurityPrincipal vai trò Quản trị viên toàn cầu (trong Ứng dụng doanh nghiệp) và đã tạo chứng chỉ tự ký (được lưu trữ trong cửa hàng cá nhân của máy) và tải chứng chỉ này lên Ứng dụng Azure.

Tôi đang nhận được mã thông báo với: $Token = Get-MsalToken -ClientId $ClientId -TenantId $TenantId -ClientCertificate $Certificate -RedirectUri "http://bla.com"

Điều này hoạt động và tôi cũng có thể sử dụng mã thông báo trong new-azureADSSOAuthenticationContext.

Nhưng khi tôi gọi Update-AzureADSSOForest -OnPremCredentials $OnpremCred, tôi gặp lỗi sau:

  • Khi chạy dưới Powershell 7 "mới": Dòng | 133 | Cập nhật-AzureADSSOForest -OnPremCredentials $OnpremCred | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ | Không thể tải loại 'System.ServiceModel.Web.WebChannelFactory`1' từ cụm 'System.ServiceModel.Web, Version=4.0.0.0, Culture=neutral, | PublicKeyToken=31bf3856ad364e35'.

  • Khi chạy dưới Powershell 5.1 "cũ": Update-AzureADSSOForest : Tải lên thông tin tài khoản máy tính không thành công. Thông báo lỗi: Yêu cầu DesktopSsoNumOfDomains được thực hiện với Mã xác thực không hợp lệ. Giá trị:'' Tại C:\Scripts\DEV-MIHA\KerberosKeyRollover\M365_Kerberos_Key_Rollover.ps1:133 ký tự:1

  • Cập nhật-AzureADSSOForest -OnPremCredentials $OnpremCred
  •   + CategoryInfo : NotSpecified: (:) [Update-AzureADSSOForest], Ngoại lệ
  + FullQualifiedErrorId : System.Exception,Microsoft.KerberosAuth.Powershell.PowershellCommands.UpdateAzureADSSOForestCommand

Gợi ý: Tôi đã đọc khá nhiều giờ về vấn đề chung - và cho đến nay vẫn chưa tìm thấy giải pháp nào cho vấn đề này. Ngoại trừ một số tuyên bố rằng điều này hiện không thể thực hiện được.

Nhưng có lẽ ai đó ngoài kia đã làm được những gì tôi muốn đạt được

Đề nghị được chào đón. :-)

42
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.