Onlinedienste mit Microsoft Graph automatisieren (2)

Datenfilter

Im ersten Teil des Workshops haben wir behandelt, wie Abfragen an Microsoft
Graph strukturiert sind und wie der Graph Explorer dabei hilft. Im zweiten Teil
erstellen wir ein Skript, das Graph zum Abruf von Daten nutzt und diese auch
filtern kann. Ein wichtiger Aspekt ist dabei die Sicherheit, aber auch der
Umgang mit sehr großen
Ergebnismengen will gekonnt sein.
Das flexible Bereitstellen von Anwendungen und Software-Umgebungen ist dank der Container-Technologie kein Hexenwerk mehr. Dennoch gilt es für Admins, so ... (mehr)

Nachdem wir zunächst Ad-hoc-Anfragen an Graph via Graph Explorer umgesetzt haben, wollen wir im nächsten Schritte ein einfaches Skript erstellen. Dieses soll ohne Benutzerinteraktion oder Abfrage von Benutzername oder Passwort Aktionen gegen die API ausführen. Dabei kommt die PowerShell zum Einsatz, da sie eine Single-Sign-on-Bibliothek mitbringt, die die Herausforderungen in Sachen Token und moderne Authentifizierung für Sie übernimmt.

Das Skript soll nach allen externen Identitäten im Tenant suchen, die via Azure AD B2B hineingekommen sind. Dann sortieren wir die Externen nach denen, die der Einladung schon mal gefolgt sind und sich lange nicht angemeldet haben, und denen, die der Einladung noch gar nicht gefolgt sind. Beide Personenkreise sollen automatisiert in eine Gruppe wandern, die einem entsprechend Verantwortlichen erlaubt, die Personen zu untersuchen.

Die Materialliste für das Beispielskript ist nicht allzu lang: Sie erstellen eine "Application Registration" im Azure AD (AAD), die mit einem Service Principal (SP) daherkommt. Dieser erlaubt, die Anwendung im AAD zu verwalten und API-Berechtigungen in Graph zuzuweisen. Sie erteilen der Anwendung außerdem für den Zugriff Ihren Segen – in der modernen Protokollsprache mit OAuth2.0 "Consent" genannt. Damit das Skript sich mit dem Service Principal als Dienstkonto beim Azure AD anmelden kann, müssen Sie noch ein Zertifikat generieren. Bevor dann die Skriptarbeit beginnen kann, laden Sie noch das PowerShell-Modul "MSAL.PS" herunter, das die Anmeldung mit dem Zertifikat ohne Benutzerinteraktion für Sie erledigt, und installieren es. Dazu zeigen wir später mehr Details.

Das Skriptkonto erstellen

Damit das Skript selbstständig mit Azure AD für die Anmeldung und Berechtigungen und anschließend mit Graph interagieren kann, benötigen Sie ein Dienstkonto, das schon erwähnte Service

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021