当前位置：首页 > news >正文

AAD基础知识(identity/token/PRT)

news 2025/12/16 15:17:46

简介

AAD(Azure Active Directory/Azure AD)是微软基于云身份验证和访问控制的解决方案，通过SSO登录其他o365应用(word/outlook/teams…)
微软在2023年7月把AAD重命名为Microsoft Entra ID，官网：https://www.microsoft.com/zh-cn/security/business/identity-access/microsoft-entra-id
在这里插入图片描述

启用AAD: https://www.microsoft.com/zh-cn/security/business/identity-access/azure-active-directory-enable
license类型: free, Premium P1, Premium P2，大部分功能在P2中有：https://www.microsoft.com/zh-cn/security/business/microsoft-entra-pricing?rtc=1

基础

在这里插入图片描述

加入AAD

设备标识是 Microsoft Entra ID 中的一个对象，类似于用户、组或应用程序。设备标识为管理员提供信息，供其在做出访问或配置决策时使用。
三种方法加入AAD来获取设备标识:

Microsoft Entra registration: 无需用企业帐户登录到设备即可注册到 Microsoft Entra ID, 使用本地帐户登录, 一般使用场景是在移动设备上访问azure上资源
Microsoft Entra join: 需要企业帐户登录到设备, 设备所有权属于企业，适合仅使用azure验证的企业，主要通过azure来管理设备
Microsoft Entra hybrid join: 需要有本地AD连接来进行登录验证，适用于已有本地AD的企业，经常作为过渡到Microsoft Entra join的临时阶段。使用本地AD组策略进行管理

SecurityToken

Access token(OAuth2):

简介: JWT格式，访问令牌使客户端可以安全地调用受保护的Web API， Web API使用访问令牌执行身份验证和授权。
存活时间: 默认时间可变，范围介于 60-90 分钟之间

Refresh token:

简介: JWT格式，当access token过期时，可以使用刷新令牌获取新的访问和刷新令牌。Refresh token在access token下发时一起获得
刷新令牌可以因超时和吊销而随时撤销。应用必须通过向用户发送交互式登录提示以再次登录来处理登录服务的吊销
存活时间: 默认生存期24 小时

ID Token:

简介: JWT格式，包含有关用户的信息。它们可以与访问令牌一起发送，也可以代替访问令牌发送。使用 ID 令牌中的信息，客户端可以验证用户是否是其声称的身份
存活时间: 默认1小时

Claim

简介: Claim是security token中的键值对部分，应用程序授权时必须验证access token中的某些键值对(Claim)
Claim校验: 为了确保授权逻辑安全，必须验证claim以下信息
（1）验证受众(目标app): 验证access token中的aud键值是否与Web API 匹配
（2）验证租户(tenant): 验证令牌中的tid键值是否匹配用于通过应用程序存储数据的租户ID
（3）验证使用者: 验证令牌使用者（如用户或仅应用令牌的应用程序本身）是否已获得授权，可以检查sub或oid键值，或可检查使用者是否属于具有roles、groups、wids 声明的相应角色或组。
（4）验证参与者(客户端应用程序): 代表用户的客户端应用程序也必须获得授权。使用 scp键值（范围）来验证应用程序是否有权执行操作。

Primary refresh token(PRT)

简介: 在加入AAD且注册的设备上，通过登录验证的会向win发放PRT(类似TGT)，用于在这些设备上使用的应用程序之间实现SSO。PRT存储于win的lsass中
组成:
（1）设备 ID：PRT 将颁发给特定设备上的用户。设备 ID 声明用于根据设备状态或合规性来确定条件性访问的授权。
（2）会话密钥：会话密钥是 Microsoft Entra 身份验证服务生成的加密对称密钥，作为PRT 的一部分颁发。当使用 PRT 为其他应用程序获取令牌时，会话密钥将用作所有权证明。
存活时间：默认14天，只要用户设备联网持续活跃，PRT会自动更新
PRT相关关键组件
（1）云身份验证提供程序 (CloudAP)：CloudAP 是 Windows 登录的新式身份验证提供程序，用于验证登录到 Windows 10 或更高版本设备的用户。 CloudAP 提供一个插件框架，可基于该框架构建标识提供者，以便使用该标识提供者的凭据完成 Windows 身份验证。
（2）Web 帐户管理器 (WAM)：WAM 是 Windows 10 或更高版本设备上的默认令牌代理。 WAM 也提供一个插件框架，可基于该框架构建标识提供者，并为依赖该标识提供者的应用程序启用 SSO。
（3）Microsoft Entra CloudAP 插件(请求PRT组件)：基于 CloudAP 框架构建的 Microsoft Entra 特定插件，用于在 Windows 登录期间使用 Microsoft Entra ID 验证用户凭据。当用户e，它还会缓存 PRT 以启用缓存的登录。
（4）Microsoft Entra WAM 插件(请求access token组件)：基于 WAM 框架构建的 Microsoft Entra 特定插件，支持对依赖 Microsoft Entra ID 进行身份验证的应用程序进行 SSO。
（5）Dsreg：Windows 10 或更高版本上的 Microsoft Entra 特定组件，用于处理所有设备状态的设备注册过程。可通过dsreg /status命令查看加入azure和PRT情况

（6）受信任的平台模块 (TPM)：TPM 是内置于设备的硬件组件，为用户和设备机密提供基于硬件的安全功能。
获取场景:
（1）Microsoft Entra joined或Microsoft Entra hybrid joined:当用户使用其组织凭据登录时，在Windows登录期间发出PRT(hybrid joined是异步发，joined是同步发)。在这个场景中，Microsoft Entra CloudAP插件是PRT的主要认证组件。Microsoft Entra CloudAP插件使用用户提供的凭据从Microsoft Entra ID请求PRT
（2）Microsoft Entra registration:当用户在其Windows 10或更新的设备上添加辅助工作帐户时，会请求PRT
获取过程:

AAD基础知识(identity/token/PRT)

简介 AAD(Azure Active Directory/Azure AD)是微软基于云身份验证和访问控制的解决方案，通过SSO登录其他o365应用(word/outlook/teams…) 微软在2023年7月把AAD重命名为Microsoft Entra ID，官网：https://www.microsoft.com/zh-cn/security/b…...

编程日记 2023/10/4 4:38:41

基于SSM的视频点播系统设计与实现

末尾获取源码开发语言：Java Java开发工具：JDK1.8 后端框架：SSM 前端：采用Vue技术开发数据库：MySQL5.7和Navicat管理工具结合服务器：Tomcat8.5 开发软件：IDEA / Eclipse 是否Maven项目&#x…...

编程日记 2023/10/4 4:37:40

React 知识点总结

本篇文章是我自己总结已经写过的react知识点，大框架已生成，知识持续更新中。仅供参考生命周期 React 生命周期组件基础 react中受控组件与非受控组件 React Portals 理解React页面渲染原理，如何优化React性能？ 学习篇之R…...

编程日记 2023/10/4 4:29:31

ALSA project the C library refrerenc (ALSA工程 C库参考说明)

作者: Jaroslav Kysela perexperex.cz Abramo Bagnara abramoalsa-project.org Takashi Iwai tiwaisuse.de Frank van de Pol fvdpolcoil.demon.nl前言: 高级linux音频架构(ALSA)来自内核API和库的API.这个篇文章描述了应用层库API和内核层API对应是怎么的interfaces.API用法: …...

编程日记 2023/10/4 4:27:29

【Maven基础篇-黑马程序员】Maven项目管理从基础到高级，一次搞定！

文章目录前言Maven简介Maven是什么Maven的作用 Maven的下载与安装Maven基础概念仓库坐标仓库配置全局setting与用户setting区别第一个Maven程序（手工制作）第一个Maven程序（IDEA生成）使用模版（骨架）创建Ma…...

编程日记 2023/10/4 4:24:26

MySQL进阶 —— 超详细操作演示！！！（下）

MySQL进阶 —— 超详细操作演示！！！（下） 五、锁5.1 概述5.2 全局锁5.3 表级锁5.4 行级锁六、InnoDB 引擎6.1 逻辑存储结构6.2 架构6.3 事务原理6.4 MVCC 七、MySQL 管理7.1 系统数据库7.2 常用工具 MySQL— 基础语法大…...

编程日记 2023/10/4 4:23:26

SVM（上）：如何用一根棍子将蓝红两色球分开？

⭐️⭐️⭐️⭐️⭐️欢迎来到我的博客⭐️⭐️⭐️⭐️⭐️ 🐴作者：秋无之地 🐴简介：CSDN爬虫、后端、大数据领域创作者。目前从事python爬虫、后端和大数据等相关工作，主要擅长领域有：爬虫、后端、大数据开发、数据分析等。 🐴欢迎小伙伴们点赞👍🏻、收藏⭐️、…...

编程日记 2023/10/4 4:21:24

libevent源码学习笔记

libevent源码学习笔记 libevent安装libevent源码解析（1）事件对象（2）事件操作（3）事件循环（4）事件处理常用指令问题记录问题一：长连接的管理问题二：连接关闭问…...

编程日记 2023/10/4 4:18:22

C++ opencv设置视频的捕获方式为 MJPG设置失败

我有一款4k摄像头，在设置分辨率为4k的时候总是出现帧率不够的情况， 使用命令查看 v4l2-ctl --device/dev/video0 --list-formats-ext发现 v4l2-ctl --device/dev/video0 --list-formats-ext ioctl: VIDIOC_ENUM_FMTType: Video Capture[0]: MJPG (Moti…...

编程日记 2023/10/4 4:17:19

计算机网络两位伟人

克劳德艾尔伍德香农克劳德艾尔伍德香农（Claude Elwood Shannon）是一位美国数学家、电子工程师和计算机科学家，被誉为“信息论之父”。他于1916年生于密歇根州，于2001年去世。以下是一些关于他的详细介绍： 信息论的奠…...

编程日记 2023/10/4 4:15:17

机器学习不均衡数据采样方法：imblearn 库的使用

✅作者简介：人工智能专业本科在读，喜欢计算机与编程，写博客记录自己的学习历程。 🍎个人主页：小嗷犬的个人主页 🍊个人网站：小嗷犬的技术小站 🥭个人信条：为天地立心&…...

编程日记 2023/10/4 4:14:16

MySQL系统与内建函数

在游戏开发、特别是像《三国志》这样的大型策略游戏中，数据分析是不可或缺的。从玩家行为到游戏内的战役结果，都需要通过高效的数据分析来优化游戏体验。MySQL的系统和内建函数为这样的分析提供了强大的工具。本文将详细介绍MySQL中常用的系统与内建函数，并通过《三国志》…...

编程日记 2023/10/4 4:13:15

STM32CubeMX学习笔记-USB接口使用（CDC虚拟串口）

STM32CubeMX学习笔记-USB接口使用（CDC虚拟串口） 一、USB简介二、新建工程1. 打开 STM32CubeMX 软件，点击“新建工程”2. 选择 MCU 和封装3. 配置时钟4. 配置调试模式三、USB3.1 参数配置3.3 配置时钟3.4 USB Device 四、生成代码五、查看端口…...

编程日记 2023/10/4 4:12:04

腾讯云 Cloud Studio 实战训练营结营活动获奖公示

点击链接了解详情 “腾讯云 Cloud Studio 实战训练营” 是由腾讯云联合 CSDN 推出的系列开发者技术实践活动，通过技术分享直播、动手实验项目、优秀代码评选、有奖征文活动等，让广大开发者沉浸式体验腾讯云开发者工具 Cloud Studio 的同时，实…...

编程日记 2023/10/4 4:11:02

使用晶体管做布尔逻辑和逻辑门

目录二进制，三进制，五进制 true，false表示0，1 早期计算机采用进制布尔逻辑三个基本操作：NOT,AND,OR 基础“真值表” NOT 如何实现？ AND如何实现？ OR如何实现？ 图标表示…...

编程日记 2023/10/4 4:10:01

Linux系统编程系列之线程的信号处理

一、为什么要有线程的信号处理由于多线程程序中线程的执行状态是并发的，因此当一个进程收到一个信号时，那么究竟由进程中的哪条线程响应这个信号就是不确定的，只能取决于哪条线程刚好在信号达到的瞬间被调度，这种不确定性在程序逻…...

编程日记 2023/10/4 4:09:00

【C语言】青蛙跳台阶 —— 详解

一、问题描述跳台阶_牛客题霸_牛客网 (nowcoder.com) LCR 127. 跳跃训练 - 力扣（LeetCode） 二、解题思路 1、当 n 1 时，一共只有一级台阶，那么显然青蛙这时就只有一种跳法 2、当 n 2 时，一共有两级台阶&#xff…...

编程日记 2023/10/4 4:06:57

Java - 基本数据类型和封装类型

基本类型有默认值，而包装类型初始为null。然后再根据这两个特性进行分业务使用，在阿里巴巴的规范里所有的POJO类必须使用包装类型，而在本地变量推荐使用基本类型。 Java语言提供了八种基本类型。六种数字类型（四个整数型&#xff…...

编程日记 2023/10/4 3:59:48

day-63 代码随想录算法训练营（19）图论 part 02

1020.飞地的数量分析：求不跟边界接壤的陆地的数量思路一：深度优先遍历先从四个侧边找陆地，然后进行深度优先遍历，把所有接壤的陆地（1）全部转换成海洋（0） 深度优先遍历&#xf…...

编程日记 2023/10/4 3:58:47

SpringBoot的全局异常拦截

在 Spring Boot 中，可以通过使用 ControllerAdvice 注解和 ExceptionHandler 注解来实现全局异常拦截。 RestControllerAdvice RestControllerAdvice 是 Spring Framework 提供的注解，用于定义全局异常处理类，并且结合 ExceptionHandler 注…...

编程日记 2023/10/4 3:56:45

RestClient

什么是RestClient RestClient 是 Elasticsearch 官方提供的 Java 低级 REST 客户端，它允许HTTP与Elasticsearch 集群通信，而无需处理 JSON 序列化/反序列化等底层细节。它是 Elasticsearch Java API 客户端的基础。 RestClient 主要特点轻量级&#xff…...

编程新知 2025/11/30 15:33:36

【大模型RAG】拍照搜题技术架构速览：三层管道、两级检索、兜底大模型

摘要拍照搜题系统采用“三层管道（多模态 OCR → 语义检索 → 答案渲染）、两级检索（倒排 BM25 向量 HNSW）并以大语言模型兜底”的整体框架： 多模态 OCR 层将题目图片经过超分、去噪、倾斜校正后，分别用…...

编程新知 2025/12/16 3:57:48

【根据当天日期输出明天的日期(需对闰年做判定)。】2022-5-15

缘由根据当天日期输出明天的日期(需对闰年做判定)。日期类型结构体如下： struct data{ int year; int month; int day;};-编程语言-CSDN问答 struct mdata{ int year; int month; int day; }mdata; int 天数(int year, int month) {switch (month){case 1: case 3:…...

编程新知 2025/11/27 21:52:13

树莓派超全系列教程文档--(61)树莓派摄像头高级使用方法

树莓派摄像头高级使用方法配置通过调谐文件来调整相机行为使用多个摄像头安装 libcam 和 rpicam-apps依赖关系开发包文章来源： http://raspberry.dns8844.cn/documentation 原文网址配置大多数用例自动工作，无需更改相机配置。但是，一…...

编程新知 2025/12/13 8:43:37

Springcloud：Eureka 高可用集群搭建实战（服务注册与发现的底层原理与避坑指南）

引言：为什么 Eureka 依然是存量系统的核心？ 尽管 Nacos 等新注册中心崛起，但金融、电力等保守行业仍有大量系统运行在 Eureka 上。理解其高可用设计与自我保护机制，是保障分布式系统稳定的必修课。本文将手把手带你搭建生产级 Eur…...

编程新知 2025/12/10 4:51:15

【Oracle】分区表

个人主页：Guiat 归属专栏：Oracle 文章目录 1. 分区表基础概述1.1 分区表的概念与优势1.2 分区类型概览1.3 分区表的工作原理 2. 范围分区 (RANGE Partitioning)2.1 基础范围分区2.1.1 按日期范围分区2.1.2 按数值范围分区 2.2 间隔分区 (INTERVAL Partit…...

编程新知 2025/12/5 2:22:29