Průvodce rotací tokenů Entra ID¶
Přehled¶
MazeVault poskytuje automatizovanou správu životního cyklu přihlašovacích údajů enterprise aplikací v Microsoft Entra ID (Azure AD). Zahrnuje automatické zjišťování, monitoring expirace, dual-secret rotaci s grace period a multi-target propagaci do Azure Key Vault, Spring aplikací a webhooků.
Klíčové funkce¶
- Automatické zjišťování: Synchronizace registrací aplikací a přihlašovacích údajů z Entra ID
- Monitoring expirace: Upozornění při 30denním a 7denním prahu
- Dual-Secret rotace: Nový přihlašovací údaj vytvořen před odstraněním starého
- Grace Period: Konfigurovatelné období (výchozí 30 dní), kdy jsou oba údaje platné
- Multi-Target propagace: Synchronizace do Azure Key Vault, Spring Actuator, webhooků, agentů
- Kompletní audit trail: Každá rotace zaznamenána s časovými razítky a stavem
Začínáme¶
1. Konfigurace integrace Entra ID¶
Přejděte na Integrace → Přidat integraci → Microsoft Entra ID.
Zadejte: - Tenant ID: ID vašeho Azure AD tenanta - Client ID: Client ID service principalu - Client Secret nebo Managed Identity: Metoda autentizace
2. Synchronizace registrací aplikací¶
Po konfiguraci integrace klikněte na Synchronizovat pro zjištění všech registrací aplikací ve vašem tenantovi. MazeVault importuje: - Metadata registrace aplikace - Client secrety s daty expirace - Certifikátové přihlašovací údaje
3. Zobrazení stavu přihlašovacích údajů¶
Entra Dashboard zobrazuje: - Celkový počet aktivních přihlašovacích údajů - Údaje expirující za 7/30/90 dní - Údaje v grace period - Nejnaléhavější údaje vyžadující pozornost
4. Konfigurace rotace¶
Pro každý přihlašovací údaj můžete nakonfigurovat: - Auto-rotace: Povolení automatické rotace před expirací - Dní před expirací: Kdy spustit rotaci (výchozí: 30 dní) - Grace period: Jak dlouho ponechat oba údaje aktivní (výchozí: 30 dní) - Key Vault cíle: Primární a sekundární Key Vault pro uložení secretů - Spring endpointy: Spring Actuator refresh endpointy - Webhook URL: Notifikační webhooky
5. Manuální rotace¶
Klikněte na tlačítko Rotovat u libovolného přihlašovacího údaje pro okamžitou rotaci. Proces:
- Vytvoří nový přihlašovací údaj v Entra ID
- Uloží nový secret do nakonfigurovaných Key Vaultů
- Obnoví Spring Actuator endpointy
- Odešle webhook notifikace
- Označí starý údaj pro cleanup po grace period
6. Monitoring historie rotací¶
Zobrazte kompletní historii rotací pro libovolný přihlašovací údaj nebo registraci aplikace, včetně: - Typ rotace (manuální/automatická) - Doba trvání - Dokončené kroky - Případné chyby
Stavy životního cyklu¶
| Stav | Popis |
|---|---|
| Aktivní | Údaj je platný a používaný |
| Brzy expiruje | Údaj expiruje v rámci prahu |
| Rotuje se | Rotace probíhá |
| Grace Period | Starý i nový údaj jsou platné |
| Expirovaný | Údaj expiroval |
| Vyčištěný | Starý údaj odstraněn po grace period |
Bezpečnost¶
- Všechny hodnoty přihlašovacích údajů šifrovány v klidu pomocí AES-256-GCM
- Graph API volání používají exponenciální backoff s retry
- OData filter vstupy sanitizovány proti injection útokům
- RBAC oprávnění:
entra:read,entra:write,entra:rotate
Řešení problémů¶
Rotace selhala¶
Zkontrolujte historii rotací pro detaily chyby. Běžné příčiny: - Nedostatečná oprávnění Graph API - Přístup ke Key Vault zamítnut - Problémy se síťovým připojením
Údaje se nesynchronizují¶
Ověřte:
- Integrace je povolena
- Service principal má oprávnění Application.ReadWrite.All
- Tenant ID a Client ID jsou správné