私の顧客は、Azure AD をテナントの IdP として使用して、大量のアプリケーションを構築しています。さまざまな時期にさまざまなキーが期限切れになるため、大規模な管理は彼らにとって課題となるでしょう。
大規模に生成されているキーをどのように監視できますか?
注: 最初は、Graph 経由でデータを取得し、Splunk/PowerBi などの監視ツールに入れることを考えていましたが、https://graphexplorer.azurewebsites.net/#経由でグラフ情報を見つけることができませんでした。 これは、日付別のリスト ビューから aad.portal.azure.com を介して公開されますか?
1 つのオプションは、Graph API ( https://graph.windows.net/myorganization/applications ) を使用してアプリケーション エンティティをクエリし、次に keyCredentials (証明書) および passwordCredentials (シークレット) 属性を読み取ることです。
別のオプションは、Powershell を使用することです。
$apps=Get-AzureADApplication
foreach ($app in $apps)
{
foreach ($pw in $app.passwordcredentials)
{
write-output "$($app.displayname),$($pw.enddate)"
}
foreach ($ky in $app.keycredentials)
{
write-output "$($app.displayname),$($ky.enddate)"
}
}
どちらの場合も、アプリケーションだけでなく、サービス プリンシパルもシークレット/証明書を構成できることを考慮してください。