Compartir a través de


az ad sp

Administrar entidades de servicio de Microsoft Entra.

Comandos

Nombre Description Tipo Estado
az ad sp create

Crear una entidad de servicio.

Core GA
az ad sp create-for-rbac

Cree una entidad de servicio y configure su acceso a los recursos de Azure.

Core GA
az ad sp credential

Administrar la contraseña o las credenciales de certificado de una entidad de servicio.

Core GA
az ad sp credential delete

Elimine la contraseña o las credenciales de certificado de una entidad de servicio.

Core GA
az ad sp credential list

Enumere los metadatos de credenciales de certificado o contraseña de una entidad de servicio. (El contenido de la contraseña o la credencial de certificado no es recuperable).

Core GA
az ad sp credential reset

Restablezca la contraseña o las credenciales de certificado de una entidad de servicio.

Core GA
az ad sp delete

Elimine una entidad de servicio.

Core GA
az ad sp list

Enumerar entidades de servicio.

Core GA
az ad sp owner

Administrar propietarios de entidades de servicio.

Core GA
az ad sp owner list

Enumerar los propietarios de la entidad de servicio.

Core GA
az ad sp show

Obtenga los detalles de una entidad de servicio.

Core GA
az ad sp update

Actualizar una entidad de servicio.

Core GA

az ad sp create

Crear una entidad de servicio.

az ad sp create --id

Ejemplos

Crear una entidad de servicio. (generado automáticamente)

az ad sp create --id 00000000-0000-0000-0000-000000000000

Parámetros requeridos

--id

Identificador URI, identificador de aplicación o identificador de objeto de la aplicación asociada.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad sp create-for-rbac

Cree una entidad de servicio y configure su acceso a los recursos de Azure.

La salida incluye las credenciales que debe proteger. Asegúrese de no incluir estas credenciales en el código ni en el control de código fuente. Considere también la posibilidad de usar identidades administradas para evitar tener que usar credenciales.

De forma predeterminada, este comando no asigna ningún rol a la entidad de servicio. Puede usar --role y --scopes para asignar un rol específico y restringir el ámbito a un recurso o grupo de recursos. También puede usar az role assignment create para crear asignaciones de roles para esta entidad de servicio más adelante. Consulte los pasos para agregar una asignación de roles para obtener más información.

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--json-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--years]

Ejemplos

Cree sin asignación de roles.

az ad sp create-for-rbac

Cree con un nombre para mostrar personalizado.

az ad sp create-for-rbac -n MyApp

Cree con asignaciones de roles colaborador en ámbitos especificados. Para recuperar el identificador de suscripción actual, ejecute "az account show --query id --output tsv".

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

Cree mediante un certificado autofirmado.

az ad sp create-for-rbac --create-cert

Cree con un certificado autofirmado y almacénelo en KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

Cree mediante el certificado existente en KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName

Parámetros opcionales

--cert

Certificado que se va a usar para las credenciales. Cuando se usa con --keyvault,, indica el nombre del certificado que se va a usar o crear. De lo contrario, proporcione una cadena de certificado pública con formato PEM o DER. Use @{path} para cargar desde un archivo. No incluya información de clave privada.

--create-cert

Cree un certificado autofirmado que se usará para la credencial. Solo el usuario actual del sistema operativo tiene permiso de lectura y escritura para este certificado. Use con --keyvault para crear el certificado en Key Vault. De lo contrario, se creará un certificado localmente.

Valor predeterminado: False
--display-name --name -n

Nombre para mostrar de la entidad de servicio. Si no está presente, el valor predeterminado es azure-cli-%Y-%m-%d-%H-%M-%S donde el sufijo es la hora de creación.

--json-auth --sdk-auth
Obsoleto

La opción "--sdk-auth" está en desuso y se quitará en una versión futura.

Credencial de entidad de servicio de salida junto con puntos de conexión en la nube en formato JSON.

Valores aceptados: false, true
--keyvault

Nombre o identificador de keyVault que se va a usar para crear o recuperar certificados.

--role

Rol de la entidad de servicio.

--scopes

Lista separada por espacios de ámbitos a los que se aplica la asignación de roles de la entidad de servicio. Por ejemplo, subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--years

Número de años durante los que las credenciales serán válidas. Valor predeterminado: 1 año.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad sp delete

Elimine una entidad de servicio.

az ad sp delete --id

Ejemplos

Elimine una entidad de servicio.

az ad sp delete --id 00000000-0000-0000-0000-000000000000

Parámetros requeridos

--id

Nombre de entidad de seguridad de servicio o identificador de objeto.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad sp list

Enumerar entidades de servicio.

Para una latencia baja, de forma predeterminada, solo se devolverán los primeros 100 a menos que proporcione argumentos de filtro o use "--all".

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

Parámetros opcionales

--all

Enumere todas las entidades, espere un retraso largo si está en una organización grande.

--display-name

Nombre para mostrar del objeto o su prefijo.

--filter

Filtro OData, por ejemplo, --filter "displayname eq 'test' y servicePrincipalType eq 'Application'".

--show-mine

Enumera las entidades que pertenecen al usuario actual.

--spn

Nombre de entidad de seguridad de servicio.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad sp show

Obtenga los detalles de una entidad de servicio.

az ad sp show --id

Ejemplos

Obtenga los detalles de una entidad de servicio con appId.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Obtenga los detalles de una entidad de servicio con identificador.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Obtenga los detalles de una entidad de servicio con el identificador URI.

az ad sp show --id api://myapp

Parámetros requeridos

--id

Nombre de entidad de seguridad de servicio o identificador de objeto.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az ad sp update

Actualizar una entidad de servicio.

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

Ejemplos

actualizar una entidad de servicio (generada automáticamente)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

Parámetros requeridos

--id

Nombre de entidad de seguridad de servicio o identificador de objeto.

Parámetros opcionales

--add

Agregue un objeto a una lista de objetos especificando una ruta de acceso y pares clave-valor. Ejemplo: --add property.listProperty <key=value, string or JSON string>.

Valor predeterminado: []
--force-string

Al usar 'set' o 'add', conserve los literales de cadena en lugar de intentar convertir en JSON.

Valor predeterminado: False
--remove

Quite una propiedad o un elemento de una lista. Ejemplo: --remove property.list <indexToRemove> O --remove propertyToRemove.

Valor predeterminado: []
--set

Actualice un objeto especificando una ruta de acceso de propiedad y un valor que se va a establecer. Ejemplo: --set property1.property2=<value>.

Valor predeterminado: []
Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.