Správa přihlašovacích údajů ve službě Automation
Prostředek přihlašovacích údajůAutomatizace obsahuje objekt, který obsahuje pověření zabezpečení, například uživatelské jméno a heslo. Runbooky a konfigurace DSC používají rutiny, které přijímají objekt PSCredential pro ověřování. Případně můžou extrahovat uživatelské jméno a heslo objektu PSCredential
, aby bylo možné poskytnout některé aplikaci nebo službě vyžadující ověření.
Poznámka:
Mezi zabezpečené prostředky ve službě Azure Automation patří přihlašovací údaje, certifikáty, připojení a šifrované proměnné. Tyto prostředky se šifrují a ukládají ve službě Azure Automation pomocí jedinečného klíče, který se vygeneruje pro každý účet Automation. Azure Automation tento klíč ukládá ve službě Key Vault spravované systémem. Před uložením zabezpečeného prostředku služba Automation načte klíč ze služby Key Vault a pak ho použije k šifrování prostředku.
Poznámka:
Informace o zobrazování nebo odstraňování osobních údajů najdete v tématu Obecné žádosti subjektů údajů o GDPR, žádosti subjektů údajů Azure o GDPR nebo žádosti subjektů údajů o gdpr ve Windows v závislosti na vaší konkrétní oblasti a potřebách. Další informace o GDPR najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR na portálu Service Trust Portal.
Rutiny PowerShellu používané pro přístup k přihlašovacím údajům
Rutiny v následující tabulce vytvářejí a spravují přihlašovací údaje automation pomocí PowerShellu. Dodávají se jako součást modulů Az.
Rutina | Popis |
---|---|
Get-AzAutomationCredential | Načte objekt CredentialInfo obsahující metadata o přihlašovacích údajích. Rutina nenačte PSCredential samotný objekt. |
New-AzAutomationCredential | Vytvoří nové přihlašovací údaje služby Automation. |
Remove-AzAutomationCredential | Odebere přihlašovací údaje automation. |
Set-AzAutomationCredential | Nastaví vlastnosti pro existující přihlašovací údaje automation. |
Další rutiny používané pro přístup k přihlašovacím údajům
Rutiny v následující tabulce slouží k přístupu k přihlašovacím údajům v runboocích a konfiguracích DSC.
Rutina | Popis |
---|---|
Get-AutomationPSCredential |
PSCredential Získá objekt, který se má použít v runbooku nebo konfiguraci DSC. Nejčastěji byste měli místo rutiny použít tuto interní rutinuGet-AzAutomationCredential , protože druhá rutina načítá jenom informace o přihlašovacích údajích. Tyto informace obvykle nejsou užitečné k předání do jiné rutiny. |
Get-Credential | Získá přihlašovací údaje s výzvou k zadání uživatelského jména a hesla. Tato rutina je součástí výchozího modulu Microsoft.PowerShell.Security. Viz výchozí moduly. |
New-AzureAutomationCredential | Vytvoří asset přihlašovacích údajů. Tato rutina je součástí výchozího modulu Azure. Viz výchozí moduly. |
Pokud chcete načíst PSCredential
objekty v kódu, musíte modul importovat Orchestrator.AssetManagement.Cmdlets
. Další informace najdete v tématu Správa modulů ve službě Azure Automation.
Import-Module Orchestrator.AssetManagement.Cmdlets -ErrorAction SilentlyContinue
Poznámka:
Měli byste se vyhnout použití proměnných v parametru Name
.Get-AutomationPSCredential
Jejich použití může komplikovat zjišťování závislostí mezi runbooky nebo konfigurací DSC a prostředky přihlašovacích údajů v době návrhu.
Funkce Pythonu, které přistupuje k přihlašovacím údajům
Funkce v následující tabulce slouží k přístupu k přihlašovacím údajům v runbooku Python 2 a 3. Runbooky Pythonu 3 jsou aktuálně ve verzi Preview.
Function | Popis |
---|---|
automationassets.get_automation_credential |
Načte informace o assetu přihlašovacích údajů. |
Poznámka:
automationassets
Naimportujte modul v horní části runbooku Pythonu pro přístup k funkcím assetu.
Vytvoření nového prostředku přihlašovacích údajů
Nový prostředek přihlašovacích údajů můžete vytvořit pomocí webu Azure Portal nebo windows PowerShellu.
Vytvoření nového prostředku přihlašovacích údajů pomocí webu Azure Portal
V levém podokně účtu Automation vyberte v části Sdílené prostředky přihlašovací údaje.
Na stránce Přihlašovací údaje vyberte Přidat přihlašovací údaje.
V podokně New Credential (Nové přihlašovací údaje) zadejte odpovídající název přihlašovacích údajů za vašimi standardy pojmenování.
Do pole Uživatelské jméno zadejte své přístupové ID.
Do obou polí hesel zadejte tajný přístupový klíč.
Pokud je zaškrtnuté políčko vícefaktorového ověřování, zrušte jeho zaškrtnutí.
Kliknutím na Vytvořit uložíte nový asset přihlašovacích údajů.
Poznámka:
Azure Automation nepodporuje uživatelské účty, které používají vícefaktorové ověřování.
Vytvoření nového prostředku přihlašovacích údajů pomocí Windows PowerShellu
Následující příklad ukazuje, jak vytvořit nový asset přihlašovacích údajů automation. Nejprve PSCredential
se vytvoří objekt s názvem a heslem a pak se použije k vytvoření prostředku přihlašovacích údajů. Místo toho můžete pomocí rutiny Get-Credential
vyzvat uživatele, aby zadal jméno a heslo.
$user = "MyDomain\MyUser"
$pw = ConvertTo-SecureString "PassWord!" -AsPlainText -Force
$cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $user, $pw
New-AzureAutomationCredential -AutomationAccountName "MyAutomationAccount" -Name "MyCredential" -Value $cred
Získání prostředku přihlašovacích údajů
Konfigurace runbooku nebo DSC načte prostředek přihlašovacích údajů pomocí interní Get-AutomationPSCredential
rutiny. Tato rutina získá PSCredential
objekt, který můžete použít s rutinou, která vyžaduje přihlašovací údaje. Můžete také načíst vlastnosti objektu přihlašovacích údajů, které chcete použít jednotlivě. Objekt má vlastnosti uživatelského jména a zabezpečeného hesla.
Poznámka:
Rutina Get-AzAutomationCredential
nenačte PSCredential
objekt, který lze použít k ověřování. Poskytuje pouze informace o přihlašovacích údaji. Pokud potřebujete v runbooku použít přihlašovací údaje, musíte ho PSCredential
načíst jako objekt pomocí Get-AutomationPSCredential
.
Alternativně můžete použít GetNetworkCredential metoda k načtení NetworkCredential objektu, který představuje nezabezpečenou verzi hesla.
Příklad textového runbooku
Následující příklad ukazuje, jak použít přihlašovací údaje PowerShellu v runbooku. Načte přihlašovací údaje a přiřadí jeho uživatelské jméno a heslo proměnným.
$myCredential = Get-AutomationPSCredential -Name 'MyCredential'
$userName = $myCredential.UserName
$securePassword = $myCredential.Password
$password = $myCredential.GetNetworkCredential().Password
Přihlašovací údaje můžete použít také k ověření v Azure pomocí connect-AzAccount po prvním připojení pomocí spravované identity. V tomto příkladu se používá spravovaná identita přiřazená systémem.
# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process
# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context
# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext
# Get credential
$myCred = Get-AutomationPSCredential -Name "MyCredential"
$userName = $myCred.UserName
$securePassword = $myCred.Password
$password = $myCred.GetNetworkCredential().Password
$myPsCred = New-Object System.Management.Automation.PSCredential ($userName,$securePassword)
# Connect to Azure with credential
$AzureContext = (Connect-AzAccount -Credential $myPsCred -TenantId $AzureContext.Subscription.TenantId).context
# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription `
-TenantId $AzureContext.Subscription.TenantId `
-DefaultProfile $AzureContext
Příklad grafického runbooku
Aktivitu pro interní Get-AutomationPSCredential
rutinu můžete přidat do grafického runbooku tak, že kliknete pravým tlačítkem na přihlašovací údaje v podokně Knihovna v grafickém editoru a vyberete Přidat na plátno.
Následující obrázek ukazuje příklad použití přihlašovacích údajů v grafickém runbooku. V tomto případě přihlašovací údaje poskytují ověřování runbooku k prostředkům Azure, jak je popsáno v tématu Použití ID Microsoft Entra ve službě Azure Automation k ověření v Azure. První aktivita načte přihlašovací údaje, které mají přístup k předplatnému Azure. Aktivita připojení účtu pak pomocí těchto přihlašovacích údajů poskytuje ověřování pro všechny aktivity, které po něm přicházejí. Tady se používá propojení kanálu, protože Get-AutomationPSCredential
očekává jeden objekt.
Použití přihlašovacích údajů v konfiguraci DSC
Přestože konfigurace DSC ve službě Azure Automation můžou pracovat s prostředky přihlašovacích údajů pomocí Get-AutomationPSCredential
, můžou také předávat prostředky přihlašovacích údajů prostřednictvím parametrů. Další informace najdete v tématu Kompilace konfigurací ve službě Azure Automation DSC.
Další kroky
- Další informace o rutinách používaných pro přístup k certifikátům najdete v tématu Správa modulů ve službě Azure Automation.
- Obecné informace o runboocích najdete v tématu Spouštění runbooků ve službě Azure Automation.
- Podrobnosti o konfiguracích DSC najdete v přehledu služby Azure Automation State Configuration.