【发布时间】:2016-12-02 23:44:12
【问题描述】:
我想提供一些将针对 Office365 PowerShell 实施的管理服务,但我不想存储可解密的管理员凭据 - 是否有任何选项可以在不直接使用凭据的情况下进行身份验证?我正在考虑诸如 OAuth 或其他应用程序密钥系统之类的东西。
【问题讨论】:
标签: powershell office365 office365api
【发布时间】:2016-12-02 23:44:12
【问题描述】:
问题不是 100% 清楚,但由于您不想存储凭据,我假设这将在客户端计算机上运行,而不是在您直接控制的系统上运行。我可以想到两个选项,但它们都大大增加了这样的脚本的复杂性。
选项 1
将您的脚本分成两部分,一部分设置为在以提升权限运行的服务器上的 Web 侦听器,另一部分在您希望放置脚本的系统上运行,以对您的 Web 侦听器进行 REST 调用,这使您可以仅公开您实际希望低权限脚本可以访问的功能,而无需处理存储凭据。这设置起来更复杂,但不需要任何第三方就位。
选项 2
使用特权身份管理系统(我最熟悉 CyberArk,但其中任何一个都可以用于此目的)来存储凭据,然后您将使用证书签署脚本并将身份管理器设置为仅允许使用该证书签名并从已知有效 IP 连接以访问凭据的进程,再次使用网络调用。一旦安装了 PIM,这将更容易做到,但要正确地做到这一点可能会让人头疼,更不用说昂贵了。
希望我正确理解了这个问题,并且这些方法之一对您有所帮助。
【讨论】:
-
感谢您的输入,该应用程序将在我控制的系统上运行 - 但它会为不同的用户管理 Office365 实例,因此我想避免将他们的个人管理员凭据存储在我的服务器上。我认为正确的做法是服务凭证,但我认为我不能将它们与 PowerShell 一起用于 Office365 - 我对此提出了一个单独的问题:stackoverflow.com/questions/41097604/…