我想提供一些针对Office365 PowerShell实施的管理服务,但我不想存储可解密的管理员凭据 - 是否有任何选项可以在不直接使用凭据的情况下进行身份验证?我正在考虑像OAuth或其他应用程序密钥系统这样的东西。
答案 0 :(得分:1)
问题不是100%明确,但由于您不想存储信用卡,我认为这将在客户端计算机上运行,而不是在您直接控制的系统上运行。我可以想到两个选项,但它们都大大增加了像这样的脚本的复杂性。
选项1
将您的脚本分成两部分,一部分设置为服务器上的Web侦听器,该服务器以提升的权限运行,另一部分在您希望放置脚本的系统上运行,从而对您的Web侦听器进行REST调用,这使您只需公开您实际希望权限较低的脚本可以访问的函数,而无需处理存储的信息。设置起来比较复杂,但不需要任何第三方。
选项2
使用特权身份管理系统(我最熟悉CyberArk,但其中任何一个都可以用于此目的)来存储信用卡,然后您将使用证书对脚本进行签名并将身份管理器设置为仅允许使用该证书签署的进程,并从已知的有效IP连接以再次使用Web呼叫访问凭证。一旦安装了PIM,这样做会更容易,但这可能是一件非常令人头疼的事情,更不用说昂贵了。
希望我能正确理解这个问题,并且其中一个方法可以帮助你。