Jesús García - Blog
Explorando Azure Service Principal Identity para listar los roles de AD

Explorando Azure Service Principal Identity para listar los roles de AD

🔍 Descifrando los Secretos de Azure: Un Viaje por las Identidades y Roles de AD

Jesús E, García O's photo
Jesús E, García O

Table of contents

En esta publicación, exploraremos cómo usar el servicio de identidad de la entidad de servicio para enumerar los roles de Active Directory en Azure.

¿En qué consiste este servicio?

El servicio de identidad de la entidad de servicio es una identidad administrada de Azure que permite que las aplicaciones y los servicios se autentiquen y autoricen en Azure Active Directory (AD).

¿De qué hablará este post?

En este tutorial, aprenderá a crear una identidad de entidad de servicio en Azure, a asignar roles de AD y a enumerar esos roles mediante una aplicación de ejemplo.

¿Por qué es importante para los desarrolladores?

El uso de una identidad de entidad de servicio es una buena práctica de seguridad que ayuda a separar las credenciales de la aplicación de la cuenta de administrador de Azure. Además, permite a los desarrolladores aprovechar la autenticación y autorización de Azure AD en sus aplicaciones.

¿Qué problemas puedes resolver?

El uso de una identidad de entidad de servicio puede ayudar a resolver los siguientes problemas:

  • Proteja las credenciales de las aplicaciones y mejore la seguridad general.

  • Proporcione una manera sencilla de autenticar y autorizar aplicaciones en Azure AD.

  • Simplifique el proceso de asignación de roles de aplicación en Azure AD.

Ejercicio en la práctica:

En esta sección, proporcionaremos un paso a paso detallado sobre cómo crear una identidad de entidad de servicio, asignar roles de AD y enumerar esos roles mediante una aplicación de ejemplo.

  • Primero ya tenemos un conjunto de servicios creados, para ello debemos crear una máquina virtual

  • Vamos a iniciar sesión en la máquina virtual, usando azure CLI, usando el comando ssh y la ip pública

  • Vemos el siguiente resultado al iniciar sesión en la máquina virtual

  • Vamos a nuestro inquilino en el portal azul y copiamos el TentantID, que usaremos más adelante.

  • Iniciamos sesión en la máquina virtual usando las credenciales que configuramos cuando creamos la máquina virtual y el TenantID.

  • Le mostrará este mensaje de error, que le obliga a iniciar sesión a través de un navegador.

  • Tienes que abrir el enlace y copiar el código para autentificarte.

  • Ahora podemos enumerar las definiciones de roles, usamos el comando "az role definición list"

  • Podemos exportar esta lista en un archivo json.

  • ahora podemos enumerar las asignaciones de roles

  • Podemos exportar esta lista en un archivo json, usamos el comando "az role programming list --all >> roleinfo.json"

  • y para ver el archivo simplemente ejecutamos el comando vi roledeflst.json

Consideraciones finales:

En conclusión, hemos aprendido a usar el servicio de identidad de la entidad de servicio para enumerar los roles de AD en Azure. Este enfoque es un procedimiento recomendado de seguridad que puede ayudar a mejorar la seguridad de las aplicaciones y simplificar el proceso de autenticación y autorización en Azure AD. Esperamos que este tutorial te haya sido útil y que apliques estos conocimientos en tus proyectos.

AzureIdentityServicePrincipalADRolesAzureArchitecturecloud security