Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Ogni chiamata API REST effettuata contro una risorsa Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) deve includere un'intestazione Authorization contenente un valido Azure AD Bearer Token. Questo token viene utilizzato per determinare chi è il chiamante e a cosa ha accesso all'interno della risorsa. Il token può essere generato tramite un flusso di autenticazione interattivo dell'utente o un client service principal.
Flusso di autenticazione utente
Lo scenario di autenticazione utente è utile per test e sviluppo, ma potrebbe non essere fattibile in alcuni scenari di scripting. Generare un token tramite autenticazione utente richiede un flusso interattivo che coinvolge l'accesso tramite un browser. Tutte le azioni presuppongono l'uso dell'interfaccia Azure Command-Line (CLI).
Accedi al tuo inquilino. Questo passaggio avvierà un browser web per eseguire i passaggi di login corretti.
az login --tenant <tenant id>Genera un token associato per il giusto ambito di risorse. Questo token viene utilizzato all'interno dell'intestazione Autenticazione.
Piano di controlloaz account get-access-tokenPiano dati
az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'
Principio del servizio clienti
Lo scenario Client Service Principal è utile per processi in background (come script) che richiedono la generazione di token "on demand". Generare un token tramite un client service principal richiede che un'applicazione sia registrata con un client secret associato e i corretti controlli di accesso per abbonamento:
- Crea un'applicazione tramite la sezione Registrazioni app del portale.
- Nella sezione Certificati e segreti , clicca su Nuovo segreto cliente, inserisci le informazioni richieste e genera il segreto. Assicurati di copiare il valore generato perché diventerà non disponibile una volta che lasci la sezione.
- Apri l'abbonamento in cui verrà utilizzato il capitale.
- Nella sezione Controllo di accesso (IAM), clicca su Aggiungi -> Aggiungi assegnazione ruolo.
- Seleziona il ruolo Contributore e poi clicca su Avanti.
- Clicca su Seleziona membri, cerca l'app registrata al passo 1, seleziona l'app e poi clicca su Seleziona.
- Clicca su Next, rivedi le informazioni per assicurarti che siano corrette, poi clicca su Passa + assegna.
Una volta configurata l'applicazione, può essere generato un token associato utilizzando l'id client (applicazione) e il segreto. Tutte le azioni presuppongono l'uso dell'interfaccia Azure Command-Line (CLI).
Accedi al tuo principale di servizio.
az login --service-principal -u <client id> -p <client secret> --tenant <tenant id>Genera un token associato per il giusto ambito di risorse. Questo token viene utilizzato all'interno dell'intestazione Autenticazione.
Piano di controlloaz account get-access-tokenPiano dati
az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'