我想自动执行用于无缝SSO的Kerberos描述键的转换。在执行此操作时,我不能使用全局管理员USER帐户,因为它们可能会受到浪潮攻击(由于域太多,因此我无法使用域ID,因此我将必须成为许多全局管理员)。我认为通过使用应用程序ID和证书,我可以安全地自动执行此作业。
问题是,我可以找到的每个示例代码都使用了“ AuthenticationContext”。像这样:
New-AzureADSSOAuthenticationContext -CloudCredentials $CloudCredentials
Update-AzureADSSOForest -OnPremCredentials $OnpremCredentials
是否可以使用应用程序ID自动执行此过程?如果是的话,我该如何编码?
谢谢您的帮助。
恐怕您不能使用服务主体(即应用程序ID)来做到这一点。
当前,我们只能在计划任务中使用域管理员和租户全局管理员凭据。
您可以参考此sample:
# Requirements:
# Microsoft Online Services Sign-In Assistant.
# 64-bit Azure Active Directory module for Windows PowerShell.
$CloudUser = '[email protected]'
$CloudEncrypted = Get-Content "C:\Scripts\Cloud_Encrypted_Password.txt" | ConvertTo-SecureString
$CloudCred = New-Object System.Management.Automation.PsCredential($CloudUser,$CloudEncrypted)
$OnpremUser = 'DOMAIN\service_account'
$OnpremEncrypted = Get-Content "C:\Scripts\Onprem_Encrypted_Password.txt" | ConvertTo-SecureString
$OnpremCred = New-Object System.Management.Automation.PsCredential($OnpremUser,$OnpremEncrypted)
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AzureADSSO.psd1'
New-AzureADSSOAuthenticationContext -CloudCredentials $CloudCred
Update-AzureADSSOForest -OnPremCredentials $OnpremCred
Besides,Azure团队也在努力使它自动化,请参阅反馈: