Criação de Rotação de Senhas no Azure via Azure CLI

PAM Core Executions
1

Para automatizar a troca de senhas de usuários no Azure utilizando a Azure CLI, siga os passos abaixo.

1. Requisitos Necessários

Antes de prosseguir, certifique-se de que os seguintes requisitos estão atendidos:

  • Dispositivo Unix/Linux configurado.

  • Instalação do Azure CLI no dispositivo Linux.

  • Tenant ID, Client ID e Secret ID de um Aplicativo Empresarial com a permissão “Administrador de Senhas” (Password Administrator).

2. Criando o Aplicativo Empresarial no Azure

Para configurar corretamente o Azure Enterprise Application, siga o guia abaixo e ajuste às necessidades da organização.

Observação: Outras configurações de segurança podem ser necessárias conforme as políticas da organização.

image
image1920×911 121 KB

image
image1920×911 81.9 KB

image
image1920×911 88.5 KB

image
image1920×911 71.1 KB

image
image1920×911 80.4 KB

image
image1920×911 62.2 KB

3. Configuração no Senhasegura

  1. Criar um Dispositivo Linux no senhasegura.

  2. Clonar as Credenciais do Azure para o novo dispositivo Linux.

    • Configurar a relação entre credencial pai e filha no sistema.

4. Criando o Template de Troca de Senha

Agora, será configurado o template de troca de senha:.


set-new-line-mode unix

set-read-timeout 45

set-connect-timeout 30

set-ssh-version 2

# Define inglês como idioma padrão

expect-regex "/[$|#|>]/"

exec "export LC_ALL=C"

# Garante que nenhuma conta do Azure está conectada

expect-regex "/[$|#|>]/"

exec "az logout"

# Conecta ao Azure AD usando credenciais do serviço

expect-regex "/[$|#|>]/"

exec "az login --service-principal --allow-no-subscriptions --username 'CLIENT_ID' --password 'SECRET_ID' --tenant 'TENANT_ID'"

# Altera a senha do usuário no Azure

expect-regex "/[$|#|>]/"

exec "az ad user update --id '[#USERNAME#]' --password '[#NEW_PASSWORD#]' --force-change-password-next-sign-in false --verbose"

# Garante que a atualização foi bem-sucedida verificando o status HTTP 204

expect "*Response status: 204*"

Substitua os seguintes valores no script:

  • CLIENT_ID: Identificador do Aplicativo Empresarial.

  • SECRET_ID: Senha secreta gerada para autenticação no Azure.

  • TENANT_ID: Identificação do Tenant no Azure.

  • [username#] e [#NEW_PASSWORD#] serão preenchidos dinamicamente pelo senhasegura.

5. Configuração da Execução da Troca de Senha

  • Configure a execução automática da rotação da senha pelo senhasegura, vinculando o template acima à credencial correta.

  • Certifique-se de que o Senhasegura pode acessar o dispositivo Linux configurado.

6. Validação

Após a implementação, execute um teste para confirmar que a rotação de senha ocorre corretamente.

Conclusão

Com essa configuração, a rotação das senhas dos usuários do Azure através do Azure CLI será automatizada, garantindo conformidade e segurança nos acessos.