Hitelesítő adatok kezelése az Azure Automationben

Az Automation hitelesítő adategysége olyan objektumot tartalmaz, amely biztonsági hitelesítő adatokat, például felhasználónevet és jelszót tartalmaz. A runbookok és a DSC-konfigurációk olyan parancsmagokat használnak, amelyek elfogadják a PSCredential objektumot a hitelesítéshez. Másik lehetőségként kinyerhetik az objektum felhasználónevét PSCredential és jelszavát, hogy a hitelesítést igénylő alkalmazás vagy szolgáltatás számára biztosítsanak.

Feljegyzés

Biztonságba helyezheti az Azure Automationbeli összetevőket, például hitelesítő adatokat, tanúsítványokat, kapcsolatokat és titkosított változókat. Ezeket az eszközöket az Azure Automation titkosítja és tárolja az egyes Automation-fiókokhoz létrehozott egyedi kulccsal. Az Azure Automation a kulcsot a rendszer által felügyelt Key Vaultban tárolja. A biztonságos objektum tárolása előtt az Automation betölti a kulcsot a Key Vaultból, majd titkosítja az objektumot.

Feljegyzés

A személyes adatok megtekintésével vagy törlésével kapcsolatos információkért tekintse meg a GDPR általános adattulajdonosi kérelmeit, a GDPR-ra vonatkozó Azure-beli adattulajdonosi kérelmeket vagy a GDPR-ra vonatkozó Windows-adattulajdonosi kérelmeket az Adott területtől és igényektől függően. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.

A hitelesítő adatok eléréséhez használt PowerShell-parancsmagok

Az alábbi táblázatban található parancsmagok Automation-hitelesítő adatokat hoznak létre és kezelnek a PowerShell használatával. Az Az modulok részeként szállítanak.

Parancsmag	Leírás
Get-AzAutomationCredential	Lekéri a hitelesítő adatok metaadatait tartalmazó CredentialInfo objektumot. A parancsmag nem kéri le magát az PSCredential objektumot.
New-AzAutomationCredential	Létrehoz egy új Automation-hitelesítő adatot.
Remove-AzAutomationCredential	Eltávolít egy Automation-hitelesítő adatot.
Set-AzAutomationCredential	Beállítja egy meglévő Automation-hitelesítő adat tulajdonságait.

A hitelesítő adatok eléréséhez használt egyéb parancsmagok

Az alábbi táblázatban található parancsmagok a runbookokban és a DSC-konfigurációkban található hitelesítő adatok elérésére szolgálnak.

Parancsmag	Leírás
Get-AutomationPSCredential	Lekéri a PSCredential runbookban vagy DSC-konfigurációban használni kívánt objektumot. Leggyakrabban ezt a belső parancsmagot kell használnia a Get-AzAutomationCredential parancsmag helyett, mivel az utóbbi csak a hitelesítő adatokat kéri le. Ezek az információk általában nem hasznosak egy másik parancsmagnak való továbbításhoz.
Get-Credential	Lekéri a hitelesítő adatokat egy felhasználónévre és jelszóra vonatkozó kéréssel. Ez a parancsmag az alapértelmezett Microsoft.PowerShell.Security modul része. Lásd: Alapértelmezett modulok.
New-AzureAutomationCredential	Hitelesítőadat-objektumot hoz létre. Ez a parancsmag az alapértelmezett Azure-modul része. Lásd: Alapértelmezett modulok.

A kódban lévő objektumok beolvasásához PSCredential importálnia kell a modult Orchestrator.AssetManagement.Cmdlets . További információ: Modulok kezelése az Azure Automationben.

Import-Module Orchestrator.AssetManagement.Cmdlets -ErrorAction SilentlyContinue

Feljegyzés

Kerülje a változók használatát a Name paraméterben Get-AutomationPSCredential. Használatuk megnehezítheti a runbookok, dSC-konfigurációk és hitelesítő adatok közötti függőségek felderítését a tervezéskor.

Hitelesítő adatokat elérő Python-függvények

Az alábbi táblázatban szereplő függvény a Python 2 és 3 runbook hitelesítő adatainak elérésére szolgál. A Python 3 runbookok jelenleg előzetes verzióban érhetők el.

Függvény	Leírás
automationassets.get_automation_credential	Adatokat kér le egy hitelesítő adategységről.

Feljegyzés

Importálja a automationassets Python-runbook tetején található modult az eszközfüggvények eléréséhez.

Új hitelesítőadat-objektum létrehozása

Új hitelesítőadat-objektumot az Azure Portalon vagy a Windows PowerShell használatával hozhat létre.

Új hitelesítő adategység létrehozása az Azure Portallal

1. Az Automation-fiókjában a bal oldali panelen válassza a Hitelesítő adatok lehetőséget a Megosztott erőforrások területen.

2. A Hitelesítő adatok lapon válassza a Hitelesítő adatok hozzáadása lehetőséget.

3. Az Új hitelesítő adatok panelen adjon meg egy megfelelő hitelesítő nevet az elnevezési szabványoknak megfelelően.

4. Írja be a hozzáférési azonosítót a Felhasználónév mezőbe.

5. Mindkét jelszómezőhöz adja meg a titkos hozzáférési kulcsot.

   

6. Ha a többtényezős hitelesítés jelölőnégyzet be van jelölve, törölje a jelölését.

7. Kattintson a Létrehozás gombra az új hitelesítőadat-objektum mentéséhez.

Feljegyzés

Az Azure Automation nem támogatja a többtényezős hitelesítést használó felhasználói fiókokat.

Új hitelesítőadat-objektum létrehozása a Windows PowerShell használatával

Az alábbi példa bemutatja, hogyan hozhat létre új Automation hitelesítőadat-objektumot. A PSCredential rendszer először névvel és jelszóval hoz létre egy objektumot, majd a hitelesítő adategység létrehozásához használja. Ehelyett a Get-Credential parancsmaggal kérheti a felhasználót, hogy írjon be egy nevet és egy jelszót.

$user = "MyDomain\MyUser"
$pw = ConvertTo-SecureString "PassWord!" -AsPlainText -Force
$cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $user, $pw
New-AzureAutomationCredential -AutomationAccountName "MyAutomationAccount" -Name "MyCredential" -Value $cred

Hitelesítő adategység lekérése

A runbook- vagy DSC-konfiguráció lekéri a hitelesítő adatokat a belső Get-AutomationPSCredential parancsmaggal. Ez a parancsmag egy PSCredential olyan objektumot kap, amelyet egy hitelesítő adatot igénylő parancsmaggal használhat. A hitelesítőadat-objektum tulajdonságait külön is lekérheti. Az objektum rendelkezik a felhasználónév és a biztonságos jelszó tulajdonságaival.

Feljegyzés

A Get-AzAutomationCredential parancsmag nem kér le hitelesítéshez PSCredential használható objektumot. Csak a hitelesítő adatokról nyújt információt. Ha hitelesítő adatokat kell használnia egy runbookban, azt objektumként PSCredential kell lekérnie a használatával Get-AutomationPSCredential.

Másik lehetőségként a GetNetworkCredential metódussal lekérhet egy NetworkCredential objektumot, amely a jelszó nem biztonságos verzióját jelöli.

Példa szöveges runbookra

PowerShell

Az alábbi példa bemutatja, hogyan használható PowerShell-hitelesítő adatok egy runbookban. Lekéri a hitelesítő adatokat, és hozzárendeli a felhasználónevet és a jelszót a változókhoz.

$myCredential = Get-AutomationPSCredential -Name 'MyCredential'
$userName = $myCredential.UserName
$securePassword = $myCredential.Password
$password = $myCredential.GetNetworkCredential().Password

Hitelesítő adatokkal is hitelesíthet az Azure-ban a Connect-AzAccount használatával, miután először csatlakozott egy felügyelt identitással. Ez a példa egy rendszer által hozzárendelt felügyelt identitást használ.

# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process

# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext

# Get credential
$myCred = Get-AutomationPSCredential -Name "MyCredential"
$userName = $myCred.UserName
$securePassword = $myCred.Password
$password = $myCred.GetNetworkCredential().Password

$myPsCred = New-Object System.Management.Automation.PSCredential ($userName,$securePassword)

# Connect to Azure with credential
$AzureContext = (Connect-AzAccount -Credential $myPsCred -TenantId $AzureContext.Subscription.TenantId).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription `
    -TenantId $AzureContext.Subscription.TenantId `
    -DefaultProfile $AzureContext

Python 2

Az alábbi példa egy példát mutat be a hitelesítő adatok Python 2-runbookokban való elérésére.

import automationassets
from automationassets import AutomationAssetNotFound

# get a credential
cred = automationassets.get_automation_credential("credtest")
print cred["username"]
print cred["password"]

Python 3

Az alábbi példa egy példát mutat be a hitelesítő adatok elérésére a Python 3 runbookokban (előzetes verzió).

import automationassets
from automationassets import AutomationAssetNotFound

# get a credential
cred = automationassets.get_automation_credential("credtest")
print (cred["username"])
print (cred["password"])

Példa grafikus runbookra

A belső Get-AutomationPSCredential parancsmag tevékenységének grafikus runbookhoz való hozzáadásához kattintson a jobb gombbal a hitelesítő adatokra a grafikus szerkesztő Könyvtár panelén, és válassza a Hozzáadás a vászonhoz lehetőséget.

Az alábbi képen egy példa látható a hitelesítő adatok grafikus runbookban való használatára. Ebben az esetben a hitelesítő adatok hitelesítést biztosítanak egy runbookhoz az Azure-erőforrásokhoz, az Azure AutomationBen a Microsoft Entra ID használatával történő hitelesítéshez az Azure Automationben. Az első tevékenység lekéri az Azure-előfizetéshez hozzáféréssel rendelkező hitelesítő adatokat. A fiókkapcsolati tevékenység ezt a hitelesítő adatot használja a következő tevékenységek hitelesítésére. Itt egy folyamathivatkozást használunk, mivel Get-AutomationPSCredential egyetlen objektumot vár.

Hitelesítő adatok használata DSC-konfigurációban

Bár az Azure Automation DSC-konfigurációi használhatják a hitelesítő adatokat Get-AutomationPSCredential, a hitelesítő adatokat paramétereken keresztül is átadhatják. További információ: Konfigurációk összeállítása az Azure Automation DSC-ben.

Következő lépések

• A tanúsítványok eléréséhez használt parancsmagokról további információt az Azure Automation moduljainak kezelése című témakörben talál.
• A runbookokkal kapcsolatos általános információkért lásd : Runbook-végrehajtás az Azure Automationben.
• A DSC-konfigurációk részleteiért tekintse meg az Azure Automation State Configuration áttekintését.