Uwierzytelnianie ZZOPA w usłudze Defender REST API

Każde wywołanie API REST wykonywane przeciwko zasurowi Zarządzanie zewnętrznym obszarem podatnym na ataki w usłudze Microsoft Defender (ZZOPA w usłudze Defender) musi zawierać nagłówek autoryzacji zawierający ważny token nosiciela Azure AD. Ten token służy do określenia, kim jest dzwoniący i do czego ma dostęp w ramach zasobu. Token może być generowany za pomocą interaktywnego przepływu uwierzytelniania użytkownika lub przez klientski principal usługi.

Przepływ uwierzytelniania użytkownika

Scenariusz uwierzytelniania użytkownika jest przydatny do testowania i rozwoju, ale może nie być wykonalny w niektórych scenariuszach skryptowych. Generowanie tokena poprzez uwierzytelnianie użytkownika wymaga interaktywnego przepływu logowania się przez przeglądarkę. Wszystkie działania zakładają użycie interfejsu Azure Command-Line (CLI).

  1. Zaloguj się do swojego najemcy. Ten krok uruchamia przeglądarkę internetową, aby wykonać odpowiednie kroki logowania.

    az login --tenant <tenant id>
    
  2. Wygeneruj powiązany token dla odpowiedniego zakresu zasobów. Ten token jest używany w nagłówku Authentication.

    Płaszczyzna sterowania

    az account get-access-token
    

    Płaszczyzna danych

    az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'
    

Główny pracownik obsługi klienta

Scenariusz Client Service Principal jest przydatny dla procesów działających w tle (takich jak skrypty), które wymagają generowania tokenów "na żądanie". Generowanie tokena za pomocą klienta wymaga rejestracji aplikacji z powiązanym sekretem klienta oraz odpowiednich kontroli dostępu do subskrypcji:

  1. Utworz aplikację przez sekcję Rejestracje aplikacji w portalu.
  2. W sekcji Certyfikaty i sekrety kliknij Nowy sekret klienta, wprowadź wymagane informacje i wygeneruj sekret. Upewnij się, że skopiujesz wygenerowaną wartość, bo stanie się ona niedostępna po opuszczeniu sekcji.
  3. Otwórz subskrypcję, w której kapitał będzie wykorzystywany.
  4. W sekcji Access Control (IAM) kliknij Dodaj -> Dodaj przypisanie roli.
  5. Wybierz rolę współtwórcy , a następnie kliknij Dalej.
  6. Kliknij Wybierz członków, wyszukaj aplikację zarejestrowaną w kroku 1, wybierz aplikację, a następnie wybierz Wybierz.
  7. Kliknij Następne, sprawdź informacje, aby upewnić się, że są poprawne, a następnie kliknij Przeglądaj + przypisaj.

Po skonfigurowaniu aplikacji można wygenerować powiązany token z wykorzystaniem identyfikatora klienta (aplikacji) i sekretu. Wszystkie działania zakładają użycie interfejsu Azure Command-Line (CLI).

  1. Zaloguj się do swojego mocodawcy.

    az login --service-principal -u <client id> -p <client secret> --tenant <tenant id>
    
  2. Wygeneruj powiązany token dla odpowiedniego zakresu zasobów. Ten token jest używany w nagłówku Authentication.

    Płaszczyzna sterowania

    az account get-access-token
    

    Płaszczyzna danych

    az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'