aga*_*mil 1 spn azure azure-active-directory
我们有一些人(他们自己)手动使用 SP 来运行命令并从 CLI 部署资源。我们需要阻止这种情况,只允许服务使用 SP,而不是人类。有什么办法吗?
如果用户获得了服务主体的凭据,那么他们将能够使用它登录,这是无法阻止的。解决您的问题的方法是让用户难以获取凭据。
一种方法是使用证书作为 SP 而不是密码登录。如果您创建 SP 并只为其分配证书,则用户将需要私钥才能登录。如果您随后确保此私钥仅安装在您的自动化服务器上,而用户无法访问它,那么他们将难以使用它。
或者,您可以使用托管标识而不是服务主体。将 MI 分配给您的自动化机器,确保他们的用户无权访问它。