[英]Azure App registration Client secrets expiration
Microsoft 是否已將客戶端機密的有效期更改為最長 2 年? select 不可能再“從不”了嗎?
我自己也遇到過這個。 您可以使用超過 2 年的 Powershell 設置添加憑據。 所以我猜這是一個 UI 限制。
$startDate = Get-Date
$endDate = $startDate.AddYears(98)
$aadAppsecret01 = New-AzureADApplicationPasswordCredential -ObjectId b09d3e1b-417d-425c-be05-9e46943d7207 -StartDate $startDate -EndDate $endDate
Microsoft 是否已將客戶端機密的有效期更改為最長 2 年? select 不可能再“從不”了嗎?
這是正確的。 客戶端機密的新有效期最長為 2 年。
有人可以指出一個鏈接,為什么以及何時由微軟強制執行? 這並不是真正的安全最佳實踐,並且可能對正在運行的應用程序產生嚴重影響。
這不是可能泄露的密碼暴露前端。 有些秘密僅用於服務器后端,而且很復雜,至少有 20 個字符長。 如今,任何蠻力都無法打破這些。 所以事實上,因為 Azure 上沒有像證書一樣的監控和警報,所以在 2 年內它已經成為 Azure 用戶的噩夢。
根據以下討論,我們似乎在 2021 年 6 月 8 日從微軟團隊獲得了官方答復: https://learn.microsoft.com/en-us/answers/questions/422538/future-plans-of-microsoft-with -最大過期.html
這是他們工程團隊的最終答案:
有計划在管理上限制秘密的生命周期。 但是,目前尚無何時會發生這種情況的時間表或 ETA。 刪除 UX 選項以永不過期密碼是該過程的第一步(您仍然可以使用 PowerShell、AZ CLI 和 Graph API 創建永不過期的密碼)。
所以,我明白,有一段時間,我可以使用 Daniel在上面接受的答案中建議的 PowerShell 方法。 但是,我們不能永遠依賴它,因為如果微軟的計划實現,“從不”選項遲早會完全消失。 我希望在這種情況下不會。 正如一些人所說,由於這一限制,我還預見到未來幾年會出現過期問題。
您可以通過 Azure 內置 CLI 設置日期。 在瀏覽器中打開 Azure CLI。 然后下面這個命令。 注意:如果您不傳遞密碼,這將重置您現有的密碼:結束日期是您想要的任何日期:
az ad sp credential reset --name {name of your AD app} --end-date 2035-03-04 --credential-description DescriptionHere
如果你想保留我需要的 App Secret,我已經創建了秘密並開始使用它,請確保傳遞現有密碼。
az ad sp credential reset --name {name of your AD app} --password {whatever password you want to keep} --end-date 2035-03-04 --credential-description AppAccess
--credential-description是可選的,但如果您不傳遞它,它將在 UI 上顯示為空白,這並不好。
更多信息: https://learn.microsoft.com/en-us/cli/azure/ad/app/credential?view=azure-cli-latest
Microsoft 是否已將客戶端機密的到期日期更改為最長 2 年? select “從不”不可能了?
不幸的是,它無法更改,即使直接操作您的應用程序注冊清單也無法更改(這就是您更改其 UI 不支持的大多數內容的方式)。
太好了,現在您必須為自己設置提醒以及時更新該應用程序。 如果你離開公司,你之后的人很有可能會忘記它,並且一天又一天地破壞你的申請。
非常不尋常,據說只有您的服務器知道該客戶端機密 - 強制您在 2 年后更改它(其中顯然未被破壞)究竟如何更安全? 現在你的 Azure 操作員必須告訴你的開發人員/開發人員新的客戶端機密..這是一個必須以某種方式傳輸的高敏感信息 - 完全不必要的風險!
這讓我想起了一些你需要每個月更改 PW 的公司。 我認為在這個時間點很好理解這實際上降低了你的安全性,因為人們很懶惰並且會找到各種變通方法,比如在密碼上附加數字(最壞的情況:當前月份),大大削弱整體密碼強度.
如果您每年必須為您的一個客戶發送新的客戶機密,情況也是如此。 當然,每個人都知道您應該使用安全通道(就目前而言),但這只會引發因懶惰、壓力或僅僅是人為錯誤而產生的安全問題
干得好微軟,我已經感覺更安全了..
有一個 Azure Active Directory 反饋請求允許延長到期時間而無需重置密碼。 請給它投票,因為這將是解決每隔幾年使用客戶端密鑰通過所有應用程序必須訪問 go 的問題的好方法。
Azure DevOps 允許在您的個人訪問令牌 (PAT) 上執行此操作。 希望它能以相同的方式工作,並允許在 CLI 和門戶中進行擴展:
https://feedback.azure.com/d365community/idea/c9d2da85-8be2-ec11-a81b-6045bd7ac9f9
客戶機密的生命周期限制為兩年(24 個月)或更短。 您不能指定超過 24 個月的自定義生命周期。 Microsoft 建議您將過期值設置為小於 12 個月
Azure 應用注冊所有權是否足以重置客戶端機密?
[英]Is the Azure App Registration ownership sufficient for resetting client secrets?
如何在 azure 應用程序注冊中顯示客戶端機密的隱藏值
[英]how to display the hidden value of client secrets in azure app registration
Azure App Registrations 中的 Client Secrets 有什么用?
[英]What is the use of Client Secrets in Azure App Registrations?
應用注冊 - 公開 API - 授權的客戶端應用程序 - Azure CLI
[英]App Registration - Expose an API - Authorized client applications - Azure CLI
Azure AD 應用程序客戶端機密的確切規范(允許/禁止字符)是什么?
[英]What is the exact specification (allowed/forbidden characters) for Azure AD App Client Secrets?
如何設置Azure通知中心注冊Android的到期日期
[英]How to set expiration date for azure notification hub registration android
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.