Azure active directory Dynamics 365 web服务是否支持Azure AD条件访问?
Dynamics 365 web services SDK使用ADAL进行身份验证。我已设置了一个具有访问权限的服务帐户,以便在Dynamics CRM Online中执行某些管理。我还设置了Azure AD条件访问策略来限制此服务帐户的IP访问。服务帐户仍然能够从阻止的IP地址连接Dynamics 365 web服务。我已验证应用策略后,服务帐户无法使用web浏览器从同一服务器登录到O365。我还使用AAD假设工具验证了规则是否生效Azure active directory Dynamics 365 web服务是否支持Azure AD条件访问?,azure-active-directory,dynamics-crm-online,Azure Active Directory,Dynamics Crm Online,Dynamics 365 web services SDK使用ADAL进行身份验证。我已设置了一个具有访问权限的服务帐户,以便在Dynamics CRM Online中执行某些管理。我还设置了Azure AD条件访问策略来限制此服务帐户的IP访问。服务帐户仍然能够从阻止的IP地址连接Dynamics 365 web服务。我已验证应用策略后,服务帐户无法使用web浏览器从同一服务器登录到O365。我还使用AAD假设工具验证了规则是否生效 因此,Dynamics 365 web服务似乎不支持AAD条
因此,Dynamics 365 web服务似乎不支持AAD条件访问。这是真的吗?在这种情况下,如果是真的,AAD条件访问的价值会降低,但至少我能够限制从任何其他IP使用UI。值得一提的是,条件访问(CA)策略仅适用于
用户帐户。常见问题解答(搜索服务帐户)对此进行了描述
如果将用户帐户
用作服务帐户,则CA将适用。CA当前不适用于服务主体。您可以使用来增强身份验证。但一般来说,目前CA仅适用于用户帐户
我将打开一个支持票证,因为它受支持:。您要么有配置问题,要么有bug。点击服务器获取HTML或SOAP响应(或WebApi JSON响应)之间应该没有区别。谢谢,我会这样做的。我的访问策略包括所有云应用,仅包括该用户。它会阻止除受信任位置之外的所有位置的访问。谢谢。作为CA用户帐户的替代方案,值得研究服务主体的证书身份验证。Microsoft正在研究CA不适用于此情况的问题。我不确定您的最后一句话是问题还是陈述。如果是一个问题-对不起,我不能回答,我不是产品团队的一员。但我希望是这样:)我个人的猜测是,具有证书登录的服务主体足以保护资源。如果存在私钥泄漏,则存在严重的安全漏洞,在这种情况下没有CA会提供帮助(为了获得证书的私钥,必须有一个在网络中。如果他/她在网络中,则您有其他问题…),这是一份声明。我们与Dynamics 365团队有一份支持票,与AAD团队有一份支持票。我与他们进行了几次会谈。他们正在共同努力给我们一个答案。对于使用Graph API完成的AAD集成,我们使用客户端凭据流和证书身份验证。这在这里是不可能的,因为无法在CRM实例中授予客户端访问权限。我还没有试过找一位服务负责人。我已向Microsoft询问有关使用Dynamics 365 web服务进行身份验证的安全建议。和(使用证书而不是对称密钥)没有帮助?是的,这将有帮助。下面是一个GitHub项目,它使用c#代码使用证书连接到Dynamics 365 web服务。它还有一个powershell脚本,可自动创建自签名证书、应用程序和安全主体: