Översikt över autentisering av Automation-konton

  • Artikel
  • 9 minuter för att läsa

Viktigt

Azure Automation Kör som-konto tas bort den 30 september 2023 och ersätts med hanterade identiteter. Innan det datumet måste du börja migrera dina runbooks för att använda hanterade identiteter. Mer information finns i Migrera från ett befintligt Kör som-konton till hanterad identitet för att börja migrera runbooks från Kör som-kontot till hanterade identiteter före den 30 september 2023.

Med Azure Automation kan du automatisera åtgärder mot resurser i Azure, lokalt och med andra molnproviders, till exempel Amazon Web Services (AWS). Du kan använda runbooks för att automatisera dina uppgifter eller en Hybrid Runbook Worker om du har affärs- eller driftsprocesser att hantera utanför Azure. Att arbeta i någon av dessa miljöer kräver behörigheter för att på ett säkert sätt komma åt resurserna med de minimala rättigheter som krävs.

Den här artikeln beskriver autentiseringsscenarier som stöds av Azure Automation och beskriver hur du kommer igång baserat på den miljö eller de miljöer som du behöver hantera.

Automation-konto

När du startar Azure Automation för första gången måste du skapa minst ett Automation-konto. Med Automation-konton kan du isolera dina Automation-resurser, runbooks, tillgångar och konfigurationer från andra kontons resurser. Du kan använda Automation-konton för att separera resurser i separata logiska miljöer eller delegerade ansvarsområden. Du kan exempelvis använda ett konto för utveckling, ett annat för produktion och ett annat för din lokala miljö. Eller så kan du ägna ett Automation-konto åt att hantera operativsystemuppdateringar på alla dina datorer med Uppdateringshantering.

Ett Azure Automation-konto skiljer sig från ditt eller dina Microsoft-konton som skapats i Azure-prenumerationen. En introduktion till hur du skapar ett Automation-konto finns i Skapa ett Automation-konto.

Automation-resurser

Automation-resurserna för varje Automation-konto är associerade med en enda Azure-region, men kontot kan hantera alla resurser i din Azure-prenumeration. Den främsta orsaken till att skapa Automation-konton i olika regioner är om du har principer som kräver att data och resurser isoleras till en viss region.

Alla uppgifter som du skapar mot resurser med Hjälp av Azure Resource Manager och PowerShell-cmdletar i Azure Automation måste autentisera till Azure med hjälp av autentiseringsbaserad autentisering med Azure Active Directory (Azure AD) organisationsidentitet.

Hanterade identiteter

Med en hanterad identitet från Azure Active Directory (Azure AD) kan din runbook enkelt komma åt andra Azure AD skyddade resurser. Identiteten hanteras av Azure-plattformen och kräver inte att du etablerar eller roterar några hemligheter. Mer information om hanterade identiteter i Azure AD finns i Hanterade identiteter för Azure-resurser.

Hanterade identiteter är det rekommenderade sättet att autentisera i dina runbooks och är standardautentiseringsmetoden för ditt Automation-konto.

Anteckning

När du skapar ett Automation-konto är alternativet för att skapa ett Kör som-konto inte längre tillgängligt. Vi fortsätter dock att stödja ett RunAs-konto för befintliga och nya Automation-konton. Du kan skapa ett Kör som-konto i ditt Automation-konto från Azure Portal eller med hjälp av PowerShell.

Här är några av fördelarna med att använda hanterade identiteter:

  • Att använda en hanterad identitet i stället för Automation Kör som-kontot förenklar hanteringen. Du behöver inte förnya certifikatet som används av ett Kör som-konto.

  • Hanterade identiteter kan användas utan extra kostnad.

  • Du behöver inte ange Kör som-anslutningsobjektet i runbook-koden. Du kan komma åt resurser med hjälp av automationskontots hanterade identitet från en runbook utan att skapa certifikat, anslutningar, Kör som-konton osv.

Ett Automation-konto kan autentisera med två typer av hanterade identiteter:

  • En systemtilldelad identitet är kopplad till ditt program och tas bort om appen tas bort. En app kan bara ha en systemtilldelad identitet.

  • En användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din app. En app kan ha flera användartilldelade identiteter.

Anteckning

Användartilldelade identiteter stöds endast för molnjobb. Mer information om de olika hanterade identiteterna finns i Hantera identitetstyper.

Mer information om hur du använder hanterade identiteter finns i Aktivera hanterad identitet för Azure Automation.

Kör som-konton

Viktigt

Azure Automation Kör som-konto tas bort den 30 september 2023 och ersätts med hanterade identiteter. Innan det datumet måste du börja migrera dina runbooks för att använda hanterade identiteter. Mer information finns i Migrera från ett befintligt Kör som-konton till hanterad identitet för att börja migrera runbooks från Kör som-kontot till hanterade identiteter före den 30 september 2023.

Kör som-konton i Azure Automation tillhandahålla autentisering för att hantera Azure Resource Manager resurser eller resurser som distribuerats i den klassiska distributionsmodellen. Det finns två typer av Kör som-konton i Azure Automation:

  • Kör som-konto i Azure
  • Klassiskt Kör som-konto i Azure

För att skapa eller förnya ett Kör som-konto krävs behörigheter på tre nivåer:

  • Prenumeration
  • Azure Active Directory (Azure AD) och
  • Automation-konto

Prenumerationsbehörigheter

Du behöver behörigheten Microsoft.Authorization/*/Write. Den här behörigheten erhålls genom medlemskap i någon av följande inbyggda Azure-roller:

Om du vill konfigurera eller förnya klassiska Kör som-konton måste du ha rollen Medadministratör på prenumerationsnivå. Mer information om klassiska prenumerationsbehörigheter finns i Klassiska Azure-prenumerationsadministratörer.

Azure AD-behörigheter

För att kunna skapa eller förnya tjänsthuvudnamnet måste du vara medlem i någon av följande inbyggda roller i Azure AD:

Medlemskap kan tilldelas till ALLA användare i klientorganisationen på katalognivå, vilket är standardbeteendet. Du kan bevilja medlemskap till någon av rollerna på katalognivå. Mer information finns i Vem har behörighet att lägga till program i min Azure AD-instans?.

Behörigheter för Automation-konto

För att kunna skapa eller uppdatera Automation-kontot måste du vara medlem i någon av följande Automation-kontoroller:

Mer information om Azure Resource Manager och klassiska distributionsmodeller finns i Resource Manager och klassisk distribution.

Anteckning

Azure Cloud Solution Provider-prenumerationer (CSP) stöder endast Azure Resource Manager-modellen. Icke-Azure-Resource Manager tjänster är inte tillgängliga i programmet. När du använder en CSP-prenumeration skapas inte det klassiska Kör som-kontot i Azure, men Azure Kör som-kontot skapas. Mer information om CSP-prenumerationer finns i Tillgängliga tjänster i CSP-prenumerationer.

När du skapar ett Automation-konto skapas Kör som-kontot som standard samtidigt med ett självsignerat certifikat. Om du väljer att inte skapa det tillsammans med Automation-kontot kan det skapas individuellt vid ett senare tillfälle. Ett klassiskt Kör som-konto i Azure är valfritt och skapas separat om du behöver hantera klassiska resurser.

Anteckning

Azure Automation skapar inte Kör som-kontot automatiskt. Den har ersatts med hjälp av hanterade identiteter.

Om du vill använda ett certifikat som utfärdats av företaget eller certifikatutfärdare från tredje part i stället för det självsignerade standardcertifikatet kan du använda PowerShell-skriptet för att skapa ett Kör som-kontoalternativ för dina Kör som-konton och klassiska Kör som-konton.

Kör som-konto

När du skapar ett Kör som-konto utför det följande uppgifter:

  • Skapar ett Azure AD program med ett självsignerat certifikat, skapar ett konto för tjänstens huvudnamn för programmet i Azure AD och tilldelar rollen Deltagare för kontot i din aktuella prenumeration. Du kan ändra certifikatinställningen till Läsare eller någon annan roll. Mer information finns i Rollbaserad åtkomstkontroll i Azure Automation.

  • Skapar en Automation-certifikattillgång med namnet AzureRunAsCertificate i det angivna Automation-kontot. Certifikattillgången innehåller certifikatets privata nyckel som Azure AD programmet använder.

  • Skapar en Automation-anslutningstillgång med namnet AzureRunAsConnection i det angivna Automation-kontot. Anslutningstillgången innehåller program-ID, klientorganisations-ID, prenumerations-ID och certifikatets tumavtryck.

Klassiskt Kör som-konto i Azure

Viktigt

Azure Automation Kör som-konto tas bort den 30 september 2023 och ersätts med hanterade identiteter. Innan det datumet måste du börja migrera dina runbooks för att använda hanterade identiteter. Mer information finns i Migrera från ett befintligt Kör som-konton till hanterad identitet för att börja migrera runbooks från Kör som-kontot till hanterade identiteter före den 30 september 2023.

När du skapar ett klassiskt Kör som-konto i Azure utför det följande uppgifter:

Anteckning

Du måste vara medadministratör för prenumerationen för att skapa eller förnya den här typen av Kör som-konto.

  • Skapar ett hanteringscertifikat i prenumerationen.

  • Skapar en Automation-certifikattillgång med namnet AzureClassicRunAsCertificate i det angivna Automation-kontot. Certifikattillgången innehåller den privata nyckelns certifikat som används av hanteringscertifikatet.

  • Skapar en Automation-anslutningstillgång med namnet AzureClassicRunAsConnection i det angivna Automation-kontot. Anslutningstillgången innehåller prenumerationsnamnet, prenumerations-ID och certifikattillgångens namn.

Tjänstens huvudnamn för Kör som-konto

Tjänstens huvudnamn för ett Kör som-konto har inte behörighet att läsa Azure AD som standard. Om du vill lägga till behörigheter för att läsa eller hantera Azure AD måste du bevilja behörigheter för tjänstens huvudnamn under API-behörigheter. Mer information finns i Lägga till behörigheter för att komma åt ditt webb-API.

Kör som-kontobehörigheter

Det här avsnittet definierar behörigheter för både vanliga Kör som-konton och klassiska Kör som-konton.

  • Om du vill skapa eller uppdatera ett Kör som-konto kan en programadministratör i Azure Active Directory och en ägare i prenumerationen slutföra alla uppgifter.
  • Om du vill konfigurera eller förnya klassiska Kör som-konton måste du ha rollen Medadministratör på prenumerationsnivå. Mer information om klassiska prenumerationsbehörigheter finns i Klassiska Azure-prenumerationsadministratörer.

I en situation där du har uppdelning av uppgifter visar följande tabell en lista över aktiviteter, motsvarande cmdlet och behörigheter som behövs:

Uppgift Cmdlet Lägsta behörigheter Där du anger behörigheterna
Skapa Azure AD program New-AzADApplication Programutvecklare roll1
Azure AD Starta > Azure AD > appregistreringar
Lägg till en autentiseringsuppgift i programmet. New-AzADAppCredential Programadministratör eller global administratör1
Azure AD Starta > Azure AD > appregistreringar
Skapa och hämta ett Azure AD tjänstens huvudnamn New-AzADServicePrincipal
Get-AzADServicePrincipal		 Programadministratör eller global administratör1
Azure AD Starta > Azure AD > appregistreringar
Tilldela eller hämta Azure-rollen för det angivna huvudnamnet New-AzRoleAssignment
Get-AzRoleAssignment		 Administratör eller ägare av användaråtkomst eller har följande behörigheter:

Microsoft.Authorization/Operations/read
Microsoft.Authorization/permissions/read
Microsoft.Authorization/roleDefinitions/read
Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/read
Microsoft.Authorization/roleAssignments/delete

 Prenumeration
Prenumerationsnamn> för hemprenumerationer<>>– Access Control (IAM)
Skapa eller ta bort ett Automation-certifikat New-AzAutomationCertificate
Remove-AzAutomationCertificate		 Deltagare i resursgrupp Resursgrupp för Automation-konto
Skapa eller ta bort en Automation-anslutning New-AzAutomationConnection
Remove-AzAutomationConnection		 Deltagare i resursgrupp Resursgrupp för Automation-konto

1 Användare som inte är administratörer i din Azure AD klientorganisation kan registrera AD-program om alternativet Användare i den Azure AD klientorganisationen kan registrera program på sidan Användarinställningar är inställt på Ja. Om inställningen för programregistrering är Nej måste användaren som utför den här åtgärden vara enligt definitionen i den här tabellen.

Om du inte är medlem i prenumerationens Active Directory-instans innan du läggs till i rollen Global administratör för prenumerationen läggs du till som gäst. I det här fallet får du en You do not have permissions to create… varning på sidan Lägg till Automation-konto .

Så här kontrollerar du att den situation som skapar felmeddelandet har åtgärdats:

  1. I fönstret Azure Active Directory i Azure Portal väljer du Användare och grupper.
  2. Välj Alla användare.
  3. Välj ditt namn och välj sedan Profil.
  4. Kontrollera att värdet för attributet Användartyp under användarens profil inte är inställt på Gäst.

Rollbaserad åtkomstkontroll

Rollbaserad åtkomstkontroll är tillgänglig med Azure Resource Manager för att bevilja tillåtna åtgärder till ett Azure AD användarkonto och Kör som-konto och autentisera tjänstens huvudnamn. Mer information om hur du utvecklar din modell för att hantera Automation-behörigheter finns i artikeln Rollbaserad åtkomstkontroll i Azure Automation.

Om du har strikta säkerhetskontroller för behörighetstilldelning i resursgrupper måste du tilldela Kör som-kontomedlemskapet till rollen Deltagare i resursgruppen.

Anteckning

Vi rekommenderar att du inte använder Rollen Log Analytics-deltagare för att köra Automation-jobb. Skapa i stället den anpassade rollen Azure Automation Deltagare och använd den för åtgärder relaterade till Automation-kontot.

Runbook-autentisering med Hybrid Runbook Worker

Runbooks som körs på en Hybrid Runbook Worker i ditt datacenter eller mot databehandlingstjänster i andra molnmiljöer som AWS, kan inte använda samma metod som vanligtvis används för runbooks som autentiserar till Azure-resurser. Detta beror på att resurserna körs utanför Azure och därför kräver sina egna säkerhetsreferenser i Automation för att autentisera mot resurser som de ska komma åt lokalt. Mer information om runbook-autentisering med runbook-arbetare finns i Köra runbooks på en Hybrid Runbook Worker.

För runbooks som använder Hybrid Runbook Workers på virtuella Azure-datorer kan du använda Runbook-autentisering med hanterade identiteter i stället för Kör som-konton för att autentisera till dina Azure-resurser.

Nästa steg