Office 365 Проверка подлинности Powershell без сохранения учетных данных

Question

Я хочу предоставить некоторые административные службы, которые будут реализованы против Office365 PowerShell, но я не хочу хранить дешифруемые учетные данные администраторов - есть ли возможность аутентификации без прямого использования учетных данных ? Я думаю о чем-то вроде OAuth или другой ключевой системы приложения.

Answer 1

Не на 100% ясно из вопроса, но поскольку вы не хотите хранить кредиты, я предполагаю, что это будет работать на клиентских компьютерах, а не на системах, которые находятся под вашим контролем. Я могу представить два варианта, но они оба значительно увеличивают сложность сценария, подобного этому.

Вариант 1

Split сценарий на 2 части, один комплект в качестве веб-слушателя на сервере, на котором выполняется с повышенными привилегиями, а другой работает в системе, где вы хотите, чтобы скрипт для размещения , что делает REST-вызовы для вашего веб-прослушивателя, это позволяет вам только раскрывать функции, которые вы действительно хотите, чтобы доступ к низкоприоритетному скрипту имел доступ, не имея дело с хранением кредитов. Это сложнее настроить, но не требует, чтобы какая-либо сторонняя сторона была на месте.

Вариант 2

Используйте privledged систему управления идентификацией (я знаком с CyberArk, но ни один из них должен быть хорошо для этой цели) для хранения кредитки, вы бы затем подписать сценарий с сертификат и настроить диспетчер идентификации только разрешить процесс, подписанный с этим сертификатом, и подключиться к известному действительному IP для доступа к учетным данным, снова используя веб-вызов. Это проще сделать, как только вы установите PIM, но это может быть серьезная головная боль, чтобы сделать это правильно, не говоря уже о дорогостоящем.

Надеюсь, я правильно понял проблему и что один из этих методов помогает вам.