az ad sp

Управление субъектами-службами Microsoft Entra.

Команды

Имя	Описание	Тип	Состояние
az ad sp create	Создание субъекта-службы.	Core	GA
az ad sp create-for-rbac	Создайте приложение и связанный с ним субъект-службу, при необходимости настройте назначения ролей RBAC субъекта-службы.	Core	GA
az ad sp credential	Управление паролем или учетными данными сертификата субъекта-службы.	Core	GA
az ad sp credential delete	Удалите пароль или учетные данные сертификата субъекта-службы.	Core	GA
az ad sp credential list	Вывод списка метаданных учетных данных субъекта-службы или пароля субъекта-службы. (Содержимое пароля или учетных данных сертификата не может быть извлечено.)	Core	GA
az ad sp credential reset	Сброс пароля или учетных данных сертификата субъекта-службы.	Core	GA
az ad sp delete	Удаление субъекта-службы.	Core	GA
az ad sp list	Вывод списка субъектов-служб.	Core	GA
az ad sp owner	Управление владельцами субъектов-служб.	Core	GA
az ad sp owner list	Вывод списка владельцев субъекта-службы.	Core	GA
az ad sp show	Получение сведений о субъекте-службе.	Core	GA
az ad sp update	Обновите субъект-службу.	Core	GA

az ad sp create

Создание субъекта-службы.

az ad sp create --id

Примеры

Создание субъекта-службы. (autogenerated)

az ad sp create --id 00000000-0000-0000-0000-000000000000

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта связанного приложения.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство	Значение
Default value:	False

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство	Значение
Default value:	False

--output -o

Формат вывода.

Свойство	Значение
Default value:	json
Допустимые значения:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство	Значение
Default value:	False

az ad sp create-for-rbac

Создайте приложение и связанный с ним субъект-службу, при необходимости настройте назначения ролей RBAC субъекта-службы.

Выходные данные включают учетные данные, которые необходимо защитить. Убедитесь, что эти учетные данные не включены в код или проверьте учетные данные в систему управления версиями. В качестве альтернативы можно использовать управляемые удостоверения (если они доступны), чтобы не работать с учетными данными.

По умолчанию эта команда не назначает никакой роли субъекту-службе. Вы можете использовать --role и --scopes, чтобы назначить определенную роль и сузить область для ресурса или группы ресурсов. Вы также можете использовать az role assignment create для создания назначений ролей для этого субъекта-службы позже. Дополнительные сведения см. в шагах по добавлению назначения ролей.

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--create-password {false, true}]
                         [--display-name --name]
                         [--json-auth --sdk-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--service-management-reference]
                         [--years]

Примеры

Создание без назначения ролей.

az ad sp create-for-rbac

Создание с помощью пользовательского отображаемого имени.

az ad sp create-for-rbac -n MyApp

Создайте назначения ролей участника в указанных областях. Чтобы получить текущий идентификатор подписки, выполните команду az account show --query id --output tsv.

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

Не создавайте учетные данные пароля.

az ad sp create-for-rbac --create-password false

Создайте самозаверяющий сертификат.

az ad sp create-for-rbac --create-cert

Создание с помощью существующей строки сертификата.

az ad sp create-for-rbac --cert "MIICoT..."

Создайте существующий файл сертификата.

az ad sp create-for-rbac --cert "@~/cert.pem"
`cert.pem` contains the following content
-----BEGIN CERTIFICATE-----  <<< this line is optional
MIICoT...
-----END CERTIFICATE-----    <<< this line is optional

Создайте самозаверяющий сертификат и сохраните его в Azure Key Vault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

Создайте существующий сертификат в Azure Key Vault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName

Необязательные параметры

Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.

--cert

Сертификат, используемый для учетных данных. При использовании с --keyvault,указывает имя сертификата для использования или создания. В противном случае укажите строку открытого сертификата в формате PEM или DER. Используйте @{path} для загрузки из файла. Не включать закрытый ключ.

Свойство	Значение
Группа параметров:	keyCredential Arguments

--create-cert

Создайте самозаверяющий сертификат, используемый для учетных данных. Только текущий пользователь ОС имеет разрешение на чтение и запись для этого сертификата. Используйте --keyvault для создания сертификата в Key Vault. В противном случае сертификат будет создан локально.

Свойство	Значение
Группа параметров:	keyCredential Arguments
Default value:	False

--create-password

Создайте пароль, учетные данные (секрет) в приложении. Это поведение по умолчанию. Установите для этого аргумента значение false, чтобы отключить создание учетных данных пароля.

Свойство	Значение
Группа параметров:	Credential Arguments
Default value:	True
Допустимые значения:	false, true

--display-name --name -n

Отображаемое имя субъекта-службы. Если нет, по умолчанию azure-cli-%Y-%m-%d%S -%H-%M-%S, где суффикс является временем создания.

--json-auth --sdk-auth

Не рекомендуется

Параметр "--sdk-auth" устарел и будет удален в будущем выпуске.

Выходные учетные данные субъекта-службы вместе с облачными конечными точками в формате JSON.

Свойство	Значение
Допустимые значения:	false, true

--keyvault

Имя или идентификатор keyVault для создания или получения сертификатов.

Свойство	Значение
Группа параметров:	keyCredential Arguments

--role

Роль субъекта-службы.

--scopes

Разделенный пробелами список областей назначения роли субъекта-службы применяется к. например, подписки/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--service-management-reference

Установите свойство serviceManagementReference созданного приложения. Справочная информация о приложении или контактной информации службы из базы данных службы или управления активами.

--years

Количество лет, в течение которых учетные данные будут действительными. Значение по умолчанию: 1 год.

Свойство	Значение
Группа параметров:	Credential Arguments

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство	Значение
Default value:	False

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство	Значение
Default value:	False

--output -o

Формат вывода.

Свойство	Значение
Default value:	json
Допустимые значения:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство	Значение
Default value:	False

az ad sp delete

Удаление субъекта-службы.

az ad sp delete --id

Примеры

Удаление субъекта-службы.

az ad sp delete --id 00000000-0000-0000-0000-000000000000

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство	Значение
Default value:	False

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство	Значение
Default value:	False

--output -o

Формат вывода.

Свойство	Значение
Default value:	json
Допустимые значения:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство	Значение
Default value:	False

az ad sp list

Вывод списка субъектов-служб.

Для низкой задержки по умолчанию возвращается только первый 100, если только не указать аргументы фильтра или использовать "-all".

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

Необязательные параметры

Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.

--all

Вывод списка всех сущностей, ожидайте долгой задержки, если в большой организации.

--display-name

Отображаемое имя объекта или его префикс.

--filter

Фильтр OData, например --filter "displayname eq 'test" и servicePrincipalType eq 'Application'.

--show-mine

Вывод списка сущностей, принадлежащих текущему пользователю.

--spn

Имя субъекта-службы.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство	Значение
Default value:	False

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство	Значение
Default value:	False

--output -o

Формат вывода.

Свойство	Значение
Default value:	json
Допустимые значения:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство	Значение
Default value:	False

az ad sp show

Получение сведений о субъекте-службе.

az ad sp show --id

Примеры

Получение сведений о субъекте-службе с помощью appId.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Получение сведений о субъекте-службе с идентификатором.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Получение сведений о субъекте-службе с URI идентификатора.

az ad sp show --id api://myapp

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство	Значение
Default value:	False

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство	Значение
Default value:	False

--output -o

Формат вывода.

Свойство	Значение
Default value:	json
Допустимые значения:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство	Значение
Default value:	False

az ad sp update

Обновите субъект-службу.

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

Примеры

обновление субъекта-службы (автоматическое создание)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Необязательные параметры

Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.

--add

Добавьте объект в список объектов, указав пары пути и значения ключа. Пример: --add property.listProperty <key=value, string or JSON string>.

Свойство	Значение
Группа параметров:	Generic Update Arguments
Default value:	[]

--force-string

При использовании "set" или "add" сохраняйте строковые литералы вместо попытки преобразовать в JSON.

Свойство	Значение
Группа параметров:	Generic Update Arguments
Default value:	False

--remove

Удалите свойство или элемент из списка. Пример: --remove property.list <indexToRemove> OR --remove propertyToRemove.

Свойство	Значение
Группа параметров:	Generic Update Arguments
Default value:	[]

--set

Обновите объект, указав путь к свойству и значение для задания. Пример: --set property1.property2=<value>.

Свойство	Значение
Группа параметров:	Generic Update Arguments
Default value:	[]

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

Свойство	Значение
Default value:	False

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

Свойство	Значение
Default value:	False

--output -o

Формат вывода.

Свойство	Значение
Default value:	json
Допустимые значения:	json, jsonc, none, table, tsv, yaml, yamlc

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

Свойство	Значение
Default value:	False