Referenties beheren in Azure Automation

Een Automation-referentieasset bevat een object dat beveiligingsreferenties bevat, zoals een gebruikersnaam en een wachtwoord. Runbooks en DSC-configuraties maken gebruik van cmdlets die een PSCredential-object accepteren voor verificatie. Ze kunnen ook de gebruikersnaam en het wachtwoord van het PSCredential object extraheren om bepaalde toepassingen of services te voorzien die verificatie vereisen.

Notitie

Beveilig assets in Azure Automation zoals referenties, certificaten, verbindingen en versleutelde variabelen. Deze assets worden versleuteld en opgeslagen in Azure Automation met behulp van een unieke sleutel die wordt gegenereerd voor elk Automation-account. Azure Automation slaat de sleutel op in de door het systeem beheerde Sleutelkluis. Voordat u een beveiligde asset opslaat, laadt Automation de sleutel uit Key Vault en gebruikt deze vervolgens om de asset te versleutelen.

Notitie

Voor informatie over het weergeven of verwijderen van persoonlijke gegevens raadpleegt u algemene verzoeken van betrokkenen voor de AVG, Azure-verzoeken van betrokkenen voor de AVG of Verzoeken van Betrokkenen van Windows voor de AVG, afhankelijk van uw specifieke gebied en behoeften. Zie de AVG-sectie van het Microsoft Trust Center en de AVG-sectie van de Service Trust Portal voor algemene informatie over de AVG.

PowerShell-cmdlets die worden gebruikt voor toegang tot referenties

De cmdlets in de volgende tabel maken en beheren Automation-referenties met PowerShell. Ze worden verzonden als onderdeel van de Az-modules.

Cmdlet	Beschrijving
Get-AzAutomationCredential	Hiermee haalt u een CredentialInfo-object met metagegevens over de referentie op. De cmdlet haalt het PSCredential object zelf niet op.
New-AzAutomationCredential	Hiermee maakt u een nieuwe Automation-referentie.
Remove-AzAutomationCredential	Hiermee verwijdert u een Automation-referentie.
Set-AzAutomationCredential	Hiermee stelt u de eigenschappen voor een bestaande Automation-referentie in.

Andere cmdlets die worden gebruikt voor toegang tot referenties

De cmdlets in de volgende tabel worden gebruikt voor toegang tot referenties in uw runbooks en DSC-configuraties.

Cmdlet	Beschrijving
Get-AutomationPSCredential	Hiermee haalt u een PSCredential object op dat moet worden gebruikt in een runbook- of DSC-configuratie. Meestal moet u deze interne cmdlet gebruiken in plaats van de Get-AzAutomationCredential cmdlet, omdat de laatste alleen referentiegegevens ophaalt. Deze informatie is normaal gesproken niet nuttig om door te geven aan een andere cmdlet.
Get-Credential	Hiermee haalt u een referentie op met een prompt voor gebruikersnaam en wachtwoord. Deze cmdlet maakt deel uit van de standaardmodule Microsoft.PowerShell.Security. Zie Standaardmodules.
New-AzureAutomationCredential	Hiermee maakt u een referentieasset. Deze cmdlet maakt deel uit van de standaardModule van Azure. Zie Standaardmodules.

Als u objecten in uw code wilt ophalen PSCredential , moet u de Orchestrator.AssetManagement.Cmdlets module importeren. Zie Modules beheren in Azure Automation voor meer informatie.

Import-Module Orchestrator.AssetManagement.Cmdlets -ErrorAction SilentlyContinue

Notitie

Vermijd het gebruik van variabelen in de Name parameter van Get-AutomationPSCredential. Hun gebruik kan het detecteren van afhankelijkheden tussen runbooks of DSC-configuraties en referentieassets tijdens het ontwerp bemoeilijken.

Python-functies die toegang hebben tot referenties

De functie in de volgende tabel wordt gebruikt voor toegang tot referenties in een Python 2- en 3-runbook. Python 3-runbooks zijn momenteel in preview.

Functie	Beschrijving
automationassets.get_automation_credential	Haalt informatie over een referentieasset op.

Notitie

Importeer de automationassets module boven aan uw Python-runbook om toegang te krijgen tot de assetfuncties.

Een nieuwe referentieasset maken

U kunt een nieuwe referentieasset maken met behulp van Azure Portal of Windows PowerShell.

Een nieuwe referentieasset maken met Azure Portal

1. Selecteer in uw Automation-account in het linkerdeelvenster Referenties onder Gedeelde resources.

2. Selecteer Een referentie toevoegen op de pagina Referenties.

3. Voer in het deelvenster Nieuwe referentie een geschikte referentienaam in volgens uw naamgevingsstandaarden.

4. Typ uw toegangs-id in het veld Gebruikersnaam .

5. Voer voor beide wachtwoordvelden uw geheime toegangssleutel in.

   

6. Als het selectievakje meervoudige verificatie is ingeschakeld, schakelt u het selectievakje uit.

7. Klik op Maken om de nieuwe referentieasset op te slaan.

Notitie

Azure Automation biedt geen ondersteuning voor gebruikersaccounts die gebruikmaken van meervoudige verificatie.

Een nieuwe referentieasset maken met Windows PowerShell

In het volgende voorbeeld ziet u hoe u een nieuwe Automation-referentieasset maakt. Er PSCredential wordt eerst een object gemaakt met de naam en het wachtwoord en vervolgens gebruikt om de referentieasset te maken. In plaats daarvan kunt u de Get-Credential cmdlet gebruiken om de gebruiker te vragen een naam en wachtwoord in te voeren.

$user = "MyDomain\MyUser"
$pw = ConvertTo-SecureString "PassWord!" -AsPlainText -Force
$cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $user, $pw
New-AzureAutomationCredential -AutomationAccountName "MyAutomationAccount" -Name "MyCredential" -Value $cred

Een referentieasset ophalen

Een runbook- of DSC-configuratie haalt een referentieasset op met de interne Get-AutomationPSCredential cmdlet. Met deze cmdlet wordt een PSCredential object opgehaald dat u kunt gebruiken met een cmdlet waarvoor een referentie is vereist. U kunt ook de eigenschappen van het referentieobject ophalen die afzonderlijk moeten worden gebruikt. Het object heeft eigenschappen voor de gebruikersnaam en het beveiligde wachtwoord.

Notitie

De Get-AzAutomationCredential cmdlet haalt geen object op PSCredential dat kan worden gebruikt voor verificatie. Het bevat alleen informatie over de referentie. Als u een referentie in een runbook moet gebruiken, moet u deze ophalen als een PSCredential object met behulp van Get-AutomationPSCredential.

U kunt ook de methode GetNetworkCredential gebruiken om een NetworkCredential-object op te halen dat een onbeveiligde versie van het wachtwoord vertegenwoordigt.

Voorbeeld van een tekstrunbook

Powershell

In het volgende voorbeeld ziet u hoe u een PowerShell-referentie gebruikt in een runbook. Hiermee worden de referenties opgehaald en worden de gebruikersnaam en het wachtwoord toegewezen aan variabelen.

$myCredential = Get-AutomationPSCredential -Name 'MyCredential'
$userName = $myCredential.UserName
$securePassword = $myCredential.Password
$password = $myCredential.GetNetworkCredential().Password

U kunt ook een referentie gebruiken om te verifiëren bij Azure met Connect-AzAccount nadat u eerst verbinding hebt gemaakt met een beheerde identiteit. In dit voorbeeld wordt een door het systeem toegewezen beheerde identiteit gebruikt.

# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process

# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext

# Get credential
$myCred = Get-AutomationPSCredential -Name "MyCredential"
$userName = $myCred.UserName
$securePassword = $myCred.Password
$password = $myCred.GetNetworkCredential().Password

$myPsCred = New-Object System.Management.Automation.PSCredential ($userName,$securePassword)

# Connect to Azure with credential
$AzureContext = (Connect-AzAccount -Credential $myPsCred -TenantId $AzureContext.Subscription.TenantId).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription `
    -TenantId $AzureContext.Subscription.TenantId `
    -DefaultProfile $AzureContext

Python 2

In het volgende voorbeeld ziet u een voorbeeld van het openen van referenties in Python 2-runbooks.

import automationassets
from automationassets import AutomationAssetNotFound

# get a credential
cred = automationassets.get_automation_credential("credtest")
print cred["username"]
print cred["password"]

Python 3

In het volgende voorbeeld ziet u een voorbeeld van toegang tot referenties in Python 3-runbooks (preview).

import automationassets
from automationassets import AutomationAssetNotFound

# get a credential
cred = automationassets.get_automation_credential("credtest")
print (cred["username"])
print (cred["password"])

Voorbeeld van grafisch runbook

U kunt een activiteit voor de interne Get-AutomationPSCredential cmdlet toevoegen aan een grafisch runbook door met de rechtermuisknop op de referentie in het deelvenster Bibliotheek van de grafische editor te klikken en Toevoegen aan canvas te selecteren.

In de volgende afbeelding ziet u een voorbeeld van het gebruik van een referentie in een grafisch runbook. In dit geval biedt de referentie verificatie voor een runbook naar Azure-resources, zoals beschreven in Microsoft Entra-id in Azure Automation gebruiken om te verifiëren bij Azure. Met de eerste activiteit wordt de referentie opgehaald die toegang heeft tot het Azure-abonnement. De accountverbindingsactiviteit gebruikt deze referentie vervolgens om verificatie te bieden voor alle activiteiten die erna komen. Hier wordt een pijplijnkoppeling gebruikt, omdat Get-AutomationPSCredential er één object wordt verwacht.

Referenties gebruiken in een DSC-configuratie

Hoewel DSC-configuraties in Azure Automation kunnen werken met referentieassets Get-AutomationPSCredential, kunnen ze ook referentieassets doorgeven via parameters. Zie Compiling-configuraties in Azure Automation DSC voor meer informatie.

Volgende stappen

• Zie Modules beheren in Azure Automation voor meer informatie over de cmdlets die worden gebruikt voor toegang tot certificaten.
• Zie Runbook-uitvoering in Azure Automation voor algemene informatie over runbooks.
• Zie het overzicht van Azure Automation State Configuration voor meer informatie over DSC-configuraties.