az ad sp

Gestire le entità servizio di Azure Active Directory per l'autenticazione di automazione.

Comandi

az ad sp create

Creare un'entità servizio.

az ad sp create-for-rbac

Creare un'entità servizio e configurarne l'accesso alle risorse di Azure.

az ad sp credential

Gestire la password o le credenziali del certificato di un'entità servizio.

az ad sp credential delete

Eliminare la password o le credenziali del certificato di un'entità servizio.

az ad sp credential list

Elencare la password o i metadati delle credenziali del certificato di un'entità servizio. Il contenuto della password o delle credenziali del certificato non è recuperabile.

az ad sp credential reset

Reimpostare la password o le credenziali del certificato di un'entità servizio.

az ad sp delete

Eliminare un'entità servizio e le relative assegnazioni di ruolo.

az ad sp list

Elencare le entità servizio.

az ad sp owner

Gestire i proprietari dell'entità servizio.

az ad sp owner list

Elencare i proprietari dell'entità servizio.

az ad sp show

Ottenere i dettagli di un'entità servizio.

az ad sp update

Aggiornare un'entità servizio.

az ad sp create

Creare un'entità servizio.

az ad sp create --id

Esempio

Creare un'entità servizio. (generato automaticamente)

az ad sp create --id 00000000-0000-0000-0000-000000000000

Parametri necessari

--id

URI dell'identificatore, ID applicazione o ID oggetto dell'applicazione associata.

az ad sp create-for-rbac

Creare un'entità servizio e configurarne l'accesso alle risorse di Azure.

L'output include le credenziali che è necessario proteggere. Assicurarsi di non includere tali credenziali nel codice oppure archiviarle nel controllo del codice sorgente. In alternativa, è consigliabile usare le identità gestite , se disponibili per evitare la necessità di usare le credenziali.

Per impostazione predefinita, questo comando non assegna alcun ruolo all'entità servizio. È possibile usare --role e --scopes per assegnare un ruolo specifico e restringere l'ambito a una risorsa o a un gruppo di risorse. È anche possibile usare az role assignment create per creare assegnazioni di ruolo per questa entità servizio in un secondo momento. Per altre informazioni, vedere la procedura per aggiungere un'assegnazione di ruolo .

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--sdk-auth {false, true}]
                         [--skip-assignment {false, true}]
                         [--years]

Esempio

Creare senza assegnazione di ruolo.

az ad sp create-for-rbac

Creare usando un nome visualizzato personalizzato.

az ad sp create-for-rbac -n MyApp

Creare con assegnazioni di ruolo Collaboratore in ambiti specificati. Per recuperare l'ID sottoscrizione corrente, eseguire 'az account show --query id --output tsv'.

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

Creare usando un certificato autofirmato.

az ad sp create-for-rbac --create-cert

Creare usando un certificato autofirmato e archiviarlo all'interno di KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

Creare usando il certificato esistente in KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName

Parametri facoltativi

--cert

Certificato da usare per le credenziali. Se usato con --keyvault,, indica il nome del certificato da usare o creare. In caso contrario, specificare una stringa di certificato pubblico in formato PEM o DER. Usare @{path} per caricare da un file. Non includere informazioni sulla chiave privata.

--create-cert

Creare un certificato autofirmato da usare per le credenziali. Solo l'utente corrente del sistema operativo dispone dell'autorizzazione di lettura/scrittura per questo certificato. Usare con --keyvault per creare il certificato in Key Vault. In caso contrario, verrà creato un certificato in locale.

--display-name --name -n

Nome visualizzato dell'entità servizio. Se non è presente, per impostazione predefinita azure-cli-%Y-%m-%d-%H-%M-%S in cui il suffisso è il momento della creazione.

--keyvault

Nome o ID di un insieme di credenziali delle chiavi da usare per la creazione o il recupero di certificati.

--role

Ruolo dell'entità servizio.

--scopes

L'elenco delimitato da spazi degli ambiti a cui si applica l'assegnazione di ruolo dell'entità servizio. ad esempio subscriptions/0b1f6471-1bf0-4dda-aec3-1112222333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--sdk-auth

Il risultato dell'output è compatibile con il file di autenticazione di Azure SDK.

valori accettati: false, true
--skip-assignment

No-op.

valori accettati: false, true
--years

Numero di anni per cui le credenziali saranno valide. Valore predefinito: 1 anno.

az ad sp delete

Eliminare un'entità servizio e le relative assegnazioni di ruolo.

az ad sp delete --id

Esempio

Eliminare un'entità servizio e le relative assegnazioni di ruolo. (generato automaticamente)

az ad sp delete --id 00000000-0000-0000-0000-000000000000

Parametri necessari

--id

Nome dell'entità servizio o ID oggetto.

az ad sp list

Elencare le entità servizio.

Per una bassa latenza, per impostazione predefinita, verranno restituiti solo i primi 100, a meno che non si forniscano argomenti di filtro o si usi "--all".

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

Parametri facoltativi

--all

Elencare tutte le entità, prevedere un lungo ritardo se in un'organizzazione di grandi dimensioni.

--display-name

Nome visualizzato dell'oggetto o prefisso.

--filter

Filtro OData, ad esempio --filter "displayname eq 'test' e servicePrincipalType eq 'Application'".

--show-mine

Elencare le entità di proprietà dell'utente corrente.

--spn

Nome dell'entità servizio.

az ad sp show

Ottenere i dettagli di un'entità servizio.

az ad sp show --id

Esempio

Ottenere i dettagli di un'entità servizio con appId.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Ottenere i dettagli di un'entità servizio con ID.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Ottenere i dettagli di un'entità servizio con l'URI dell'identificatore.

az ad sp show --id api://myapp

Parametri necessari

--id

Nome dell'entità servizio o ID oggetto.

az ad sp update

Aggiornare un'entità servizio.

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

Esempio

aggiornare un'entità servizio (generata automaticamente)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

Parametri necessari

--id

Nome dell'entità servizio o ID oggetto.

Parametri facoltativi

--add

Aggiungere un oggetto a un elenco di oggetti specificando coppie percorso e valore chiave. Esempio: --add property.listProperty <key=value, stringa o stringa> JSON.

--force-string

Quando si usa 'set' o 'add', mantenere i valori letterali stringa anziché tentare di eseguire la conversione in JSON.

--remove

Rimuovere una proprietà o un elemento da un elenco. Esempio: --remove property.list OR --remove propertyToRemove.

--set

Aggiornare un oggetto specificando un percorso e un valore della proprietà da impostare. Esempio: --set property1.property2=.