PrincipalId webapp Azure

PrincipalId webapp Azure

El acceso a propiedades de objeto Identity desde línea de comandos en PowerShell para Azure debería obtenerse mediante:

Get-AzWebApp -ResourceGroupName "NombreDeRecursos" -Name "NombreAplicacionWeb"
--$appId=(Get-AzWebApp -ResourceGroupName $resourcegroupname -Name $webappname).Identity.PrincipalId
--$appId=(Get-AzureRmWebApp $resourcegroupname -Name $webappname).Identity.PrincipalId

No tenemos acceso a estos identificadores, podemos utilizar en su lugar el acceso mediante Service Managed Identity:

az webapp identity assign -g $resourcegroupname -n $webappname 

Del que obtendremos el identificador necesario:

{- Finished ..
  "principalId": "b1dd98c4-eae0-4fea-8e46-efzs563dc9630",
  "tenantId": "504c8804-c8a6-9090-8fzs-e35841104187",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Con la administración de identidades administradas habilitadas y permitiendo al acceso a los recursos a la aplicación, ya podemos utilizar tokens de acceso Oauth. De este modo solo se puede acceder a este extremo desde el código que se ejecuta en el servicio de la aplicación, por ejemplo, solo nuestro sitio web puede obtener tokens de acceso.

Asociar certificado SSL en Azure App Service

Si bien es posible asociar cualquier certificado mediante archivos PFX a los servicios publicado en Microsoft Azure, también es posible comprar el certificado directamente en el portal de gestión. Nos facilitará las tareas de renovación y costes asociados a los servicios, en realidad Microsoft ha optado por integrarse con los servicios de GoDaddy dentro de su plataforma por lo que algunos pasos son parecidos, también es posible realizar integraciones con DigiCert y GlobalSign.

Mensaje de confirmación de la compra.
Leer más

Auditoria de servidores en entorno híbridos

Si disponemos de equipos on-premise y en Azure, podemos unificar la gestión de registros en una única herramientas. Aunque ha variado de nombres, actualmente se engloba dentro de «Área de trabajo de Log Analytics» que podremos crear desde el panel de control de Azure.

Desde el nuevo recurso en «Configuración avanzada» podemos descargar el agente para Windows o Linux:

Leer más

Forzar sincronización Azure AD Connect

El tiempo mínimo programable para la sincronización entre un entorno local y cloud dentro de las capacidades actuales de Azure Active Directory Connect es de 30 minutos, en ocasiones necesitaremos replicar de manera urgente cambios antes de este tiempo.

Nos aseguraremos de tener el modulo de sincronización con el comando: «Import-Module ADSync» y consultamos la configuracióna actual «Get-ADSyncScheduler«.

El comando «Start-ADSyncSyncCycle Delta» fuerza la sincronización entre el AD local y el Azure AD, realiza la comparación de ambos y solo realiza la actualización de los cambios (DELTA)

Es posible realizar una sincronización completa (FULL) con el comando: 

Start-ADSyncSyncCycle -PolicyType Initial

lo que en algunos escenarios puede llegar a demorarse dependiendo del número de objetos.

Alias de correo electrónico en directorio activo local y Office 365

Si ya hemos realizado la sincronización de usuarios entre nuestro directorio activo local y los servicios cloud de Microsoft en Office 365, es posible que algunas de las cuentas de correo electrónico utilizen alias adicionales al principal.

Desde la consola de administración no es posible realizar los cambios y replicar hacia nuestro directorio en este momento con algunos escenarios de configuración (imagino que a futuro añadirán esta posibilidad), por lo que debemos indicar en nuestro Active Directory manualmente los alias del usuario.

1.- Desde «Usuarios y equipos del directorio Activo» debemos activar la visualización de las «Características avanzadas»

2.- Seleccionamos el usuario al que queremos añadir los alias adicionales de correo, desde la pestaña «Editor de atributos» buscamos la propiedad «proxyAddresses» y vamos añadiendo los alias, de tal forma que «SMTP:micuenta@micorreo.es» en mayúsculas indica la dirección de correo principal y las adicionales deben ir en minúscula «smtp:aliasde@micorreo.es»

Los cambios tardan en replicarse, un mínimo de 30 minutos, segúna la configuración de nuestro conector. Puedes forzar la sincronización para reducir ese tiempo.