Správa přihlašovacích údajů ve službě Automation

Asset přihlašovacích údajů služby Automation obsahuje objekt, který obsahuje přihlašovací údaje zabezpečení, jako je uživatelské jméno a heslo. Runbooky a konfigurace DSC používají rutiny, které přijímají objekt PSCredential pro ověřování. Případně můžou extrahovat uživatelské jméno a heslo objektu PSCredential , aby bylo možné poskytnout některé aplikaci nebo službě vyžadující ověření.

Poznámka:

Mezi zabezpečené prostředky ve službě Azure Automation patří přihlašovací údaje, certifikáty, připojení a šifrované proměnné. Tyto prostředky se šifrují a ukládají ve službě Azure Automation pomocí jedinečného klíče, který se vygeneruje pro každý účet Automation. Azure Automation tento klíč ukládá ve službě Key Vault spravované systémem. Před uložením zabezpečeného prostředku služba Automation načte klíč ze služby Key Vault a pak ho použije k šifrování prostředku.

Poznámka:

Informace o zobrazení nebo odstranění osobních údajů najdete v tématu věnovaném žádostem subjektů údajů Azure podle GDPR. Další informace o GDPR najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR na portálu Service Trust Portal.

Rutiny PowerShellu používané pro přístup k přihlašovacím údajům

Rutiny v následující tabulce vytvářejí a spravují přihlašovací údaje automation pomocí PowerShellu. Dodávají se jako součást modulů Az.

Rutina	Popis
Get-AzAutomationCredential	Načte objekt CredentialInfo obsahující metadata o přihlašovacích údajích. Rutina nenačte PSCredential samotný objekt.
New-AzAutomationCredential	Vytvoří nové přihlašovací údaje služby Automation.
Remove-AzAutomationCredential	Odebere přihlašovací údaje automation.
Set-AzAutomationCredential	Nastaví vlastnosti pro existující přihlašovací údaje automation.

Další rutiny používané pro přístup k přihlašovacím údajům

Rutiny v následující tabulce slouží k přístupu k přihlašovacím údajům v runboocích a konfiguracích DSC.

Rutina	Popis
Get-AutomationPSCredential	PSCredential Získá objekt, který se má použít v runbooku nebo konfiguraci DSC. Nejčastěji byste měli místo rutiny použít tuto interní rutinuGet-AzAutomationCredential, protože druhá rutina načítá jenom informace o přihlašovacích údajích. Tyto informace obvykle nejsou užitečné k předání do jiné rutiny.
Get-Credential	Získá přihlašovací údaje s výzvou k zadání uživatelského jména a hesla. Tato rutina je součástí výchozího modulu Microsoft.PowerShell.Security. Viz výchozí moduly.
New-AzureAutomationCredential	Vytvoří asset přihlašovacích údajů. Tato rutina je součástí výchozího modulu Azure. Viz výchozí moduly.

Pokud chcete načíst PSCredential objekty v kódu, musíte modul importovat Orchestrator.AssetManagement.Cmdlets . Další informace najdete v tématu Správa modulů ve službě Azure Automation.

Import-Module Orchestrator.AssetManagement.Cmdlets -ErrorAction SilentlyContinue

Poznámka:

Měli byste se vyhnout použití proměnných v parametru Name .Get-AutomationPSCredential Jejich použití může komplikovat zjišťování závislostí mezi runbooky nebo konfigurací DSC a prostředky přihlašovacích údajů v době návrhu.

Funkce Pythonu, které přistupuje k přihlašovacím údajům

Funkce v následující tabulce slouží k přístupu k přihlašovacím údajům v runbooku Python 2 a 3. Runbooky Pythonu 3 jsou aktuálně ve verzi Preview.

Function	Popis
automationassets.get_automation_credential	Načte informace o assetu přihlašovacích údajů.

Poznámka:

automationassets Naimportujte modul v horní části runbooku Pythonu pro přístup k funkcím assetu.

Vytvoření nového prostředku přihlašovacích údajů

Nový prostředek přihlašovacích údajů můžete vytvořit pomocí webu Azure Portal nebo windows PowerShellu.

Vytvoření nového prostředku přihlašovacích údajů pomocí webu Azure Portal

1. V levém podokně účtu Automation vyberte v části Sdílené prostředky přihlašovací údaje.

2. Na stránce Přihlašovací údaje vyberte Přidat přihlašovací údaje.

3. V podokně New Credential (Nové přihlašovací údaje) zadejte odpovídající název přihlašovacích údajů za vašimi standardy pojmenování.

4. Do pole Uživatelské jméno zadejte své přístupové ID.

5. Do obou polí hesel zadejte tajný přístupový klíč.

   

6. Pokud je zaškrtnuté políčko vícefaktorového ověřování, zrušte jeho zaškrtnutí.

7. Kliknutím na Vytvořit uložíte nový asset přihlašovacích údajů.

Poznámka:

Azure Automation nepodporuje uživatelské účty, které používají vícefaktorové ověřování.

Vytvoření nového prostředku přihlašovacích údajů pomocí Windows PowerShellu

Následující příklad ukazuje, jak vytvořit nový asset přihlašovacích údajů automation. Nejprve PSCredential se vytvoří objekt s názvem a heslem a pak se použije k vytvoření prostředku přihlašovacích údajů. Místo toho můžete pomocí rutiny Get-Credential vyzvat uživatele, aby zadal jméno a heslo.

$user = "MyDomain\MyUser"
$pw = ConvertTo-SecureString "PassWord!" -AsPlainText -Force
$cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $user, $pw
New-AzureAutomationCredential -AutomationAccountName "MyAutomationAccount" -Name "MyCredential" -Value $cred

Získání prostředku přihlašovacích údajů

Konfigurace runbooku nebo DSC načte prostředek přihlašovacích údajů pomocí interní Get-AutomationPSCredential rutiny. Tato rutina získá PSCredential objekt, který můžete použít s rutinou, která vyžaduje přihlašovací údaje. Můžete také načíst vlastnosti objektu přihlašovacích údajů, které chcete použít jednotlivě. Objekt má vlastnosti uživatelského jména a zabezpečeného hesla.

Poznámka:

Rutina Get-AzAutomationCredential nenačte PSCredential objekt, který lze použít k ověřování. Poskytuje pouze informace o přihlašovacích údaji. Pokud potřebujete v runbooku použít přihlašovací údaje, musíte ho PSCredential načíst jako objekt pomocí Get-AutomationPSCredential.

Alternativně můžete použít GetNetworkCredential metoda k načtení NetworkCredential objektu, který představuje nezabezpečenou verzi hesla.

Příklad textového runbooku

PowerShell

Následující příklad ukazuje, jak použít přihlašovací údaje PowerShellu v runbooku. Načte přihlašovací údaje a přiřadí jeho uživatelské jméno a heslo proměnným.

$myCredential = Get-AutomationPSCredential -Name 'MyCredential'
$userName = $myCredential.UserName
$securePassword = $myCredential.Password
$password = $myCredential.GetNetworkCredential().Password

Přihlašovací údaje můžete použít také k ověření v Azure pomocí Připojení-AzAccount po prvním připojení ke spravované identitě. V tomto příkladu se používá spravovaná identita přiřazená systémem.

# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process

# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext

# Get credential
$myCred = Get-AutomationPSCredential -Name "MyCredential"
$userName = $myCred.UserName
$securePassword = $myCred.Password
$password = $myCred.GetNetworkCredential().Password

$myPsCred = New-Object System.Management.Automation.PSCredential ($userName,$securePassword)

# Connect to Azure with credential
$AzureContext = (Connect-AzAccount -Credential $myPsCred -TenantId $AzureContext.Subscription.TenantId).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription `
    -TenantId $AzureContext.Subscription.TenantId `
    -DefaultProfile $AzureContext

Python 2

Následující příklad ukazuje příklad přístupu k přihlašovacím údajům v runboocích Pythonu 2.

import automationassets
from automationassets import AutomationAssetNotFound

# get a credential
cred = automationassets.get_automation_credential("credtest")
print cred["username"]
print cred["password"]

Python 3

Následující příklad ukazuje příklad přístupu k přihlašovacím údajům v runboocích Pythonu 3 (Preview).

import automationassets
from automationassets import AutomationAssetNotFound

# get a credential
cred = automationassets.get_automation_credential("credtest")
print (cred["username"])
print (cred["password"])

Příklad grafického runbooku

Aktivitu pro interní Get-AutomationPSCredential rutinu můžete přidat do grafického runbooku tak, že kliknete pravým tlačítkem na přihlašovací údaje v podokně Knihovna v grafickém editoru a vyberete Přidat na plátno.

Následující obrázek ukazuje příklad použití přihlašovacích údajů v grafickém runbooku. V tomto případě přihlašovací údaje poskytují ověřování runbooku k prostředkům Azure, jak je popsáno v tématu Použití ID Microsoft Entra ve službě Azure Automation k ověření v Azure. První aktivita načte přihlašovací údaje, které mají přístup k předplatnému Azure. Aktivita připojení účtu pak pomocí těchto přihlašovacích údajů poskytuje ověřování pro všechny aktivity, které po něm přicházejí. Tady se používá propojení kanálu, protože Get-AutomationPSCredential očekává jeden objekt.

Použití přihlašovacích údajů v konfiguraci DSC

Přestože konfigurace DSC ve službě Azure Automation můžou pracovat s prostředky přihlašovacích údajů pomocí Get-AutomationPSCredential, můžou také předávat prostředky přihlašovacích údajů prostřednictvím parametrů. Další informace najdete v tématu Kompilace konfigurací ve službě Azure Automation DSC.

Další kroky

• Další informace o rutinách používaných pro přístup k certifikátům najdete v tématu Správa modulů ve službě Azure Automation.
• Obecné informace o runboocích najdete v tématu Spouštění runbooků ve službě Azure Automation.
• Podrobnosti o konfiguracích DSC najdete v přehledu služby Azure Automation State Configuration.