你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
az ad sp
管理 Microsoft Entra 服务主体。
命令
| 名称 | 说明 | 类型 | Status |
|---|---|---|---|
| az ad sp create |
创建服务主体。 |
核心 | GA |
| az ad sp create-for-rbac |
创建服务主体并配置其对 Azure 资源的访问权限。 |
核心 | GA |
| az ad sp credential |
管理服务主体的密码或证书凭据。 |
核心 | GA |
| az ad sp credential delete |
删除服务主体的密码或证书凭据。 |
核心 | GA |
| az ad sp credential list |
列出服务主体的密码或证书凭据元数据。 (密码或证书凭据的内容不可检索。 |
核心 | GA |
| az ad sp credential reset |
重置服务主体的密码或证书凭据。 |
核心 | GA |
| az ad sp delete |
删除服务主体。 |
核心 | GA |
| az ad sp list |
列出服务主体。 |
核心 | GA |
| az ad sp owner |
管理服务主体所有者。 |
核心 | GA |
| az ad sp owner list |
列出服务主体所有者。 |
核心 | GA |
| az ad sp show |
获取服务主体的详细信息。 |
核心 | GA |
| az ad sp update |
更新服务主体。 |
核心 | GA |
az ad sp create
创建服务主体。
az ad sp create --id示例
创建服务主体。 (自动生成)
az ad sp create --id 00000000-0000-0000-0000-000000000000必需参数
关联的应用程序的标识符 URI、应用程序 ID 或对象 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad sp create-for-rbac
创建服务主体并配置其对 Azure 资源的访问权限。
输出包含你必须保护的凭据。 请确保没有将这些凭据包含在代码中,也没有将凭据签入到源代码管理中。 或者,考虑使用托管标识(如可用)以避免使用凭据。
默认情况下,此命令不会向服务主体分配任何角色。 可以使用 --role 和 --scopes 分配特定角色,并将范围缩小到资源或资源组。 稍后还可以用于 az role assignment create 为此服务主体创建角色分配。 有关详细信息,请参阅 添加角色分配 的步骤。
az ad sp create-for-rbac [--cert]
[--create-cert]
[--display-name]
[--json-auth {false, true}]
[--keyvault]
[--role]
[--scopes]
[--years]示例
在没有角色分配的情况下创建。
az ad sp create-for-rbac使用自定义显示名称创建。
az ad sp create-for-rbac -n MyApp使用指定作用域的参与者角色分配创建。 若要检索当前订阅 ID,请运行“az account show --query id --output tsv”。
az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2使用自签名证书创建。
az ad sp create-for-rbac --create-cert使用自签名证书创建,并将其存储在 KeyVault 中。
az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert在 KeyVault 中使用现有证书创建。
az ad sp create-for-rbac --keyvault MyVault --cert CertName可选参数
用于凭据的证书。 与 一起使用 --keyvault,时,指示要使用的或创建的证书的名称。 否则,请提供 PEM 或 DER 格式的公共证书字符串。 用于 @{path} 从文件加载。 不要包含私钥信息。
创建用于凭据的自签名证书。 只有当前 OS 用户具有对此证书的读/写权限。 --keyvault用于在密钥库中创建证书。 否则,将在本地创建证书。
服务主体的显示名称。 如果不存在,则默认为 azure-cli-%Y-%m-%d-%H-%M-%S,其中后缀是创建时间。
选项“--sdk-auth”已弃用,将在将来的版本中删除。
输出服务主体凭据以及 JSON 格式的云终结点。
用于创建或检索证书的 KeyVault 的名称或 ID。
服务主体的角色。
服务主体的角色分配适用的范围空间分隔列表。例如,subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。
凭据的有效年数。 默认值:1 年。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad sp delete
删除服务主体。
az ad sp delete --id示例
删除服务主体。
az ad sp delete --id 00000000-0000-0000-0000-000000000000必需参数
服务主体名称或对象 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad sp list
列出服务主体。
对于低延迟,默认情况下,仅返回前 100 个,除非提供筛选器参数或使用“--all”。
az ad sp list [--all]
[--display-name]
[--filter]
[--show-mine]
[--spn]可选参数
列出所有实体,如果大型组织下,预期延迟较长。
对象的显示名称或其前缀。
OData 筛选器,例如 --filter “displayname eq 'test' and servicePrincipalType eq 'Application'”。
列出当前用户拥有的实体。
服务主体名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad sp show
获取服务主体的详细信息。
az ad sp show --id示例
使用 appId 获取服务主体的详细信息。
az ad sp show --id 00000000-0000-0000-0000-000000000000获取 ID 为的服务主体的详细信息。
az ad sp show --id 00000000-0000-0000-0000-000000000000获取具有标识符 URI 的服务主体的详细信息。
az ad sp show --id api://myapp必需参数
服务主体名称或对象 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az ad sp update
更新服务主体。
az ad sp update --id
[--add]
[--force-string]
[--remove]
[--set]示例
更新服务主体(自动生成)
az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All必需参数
服务主体名称或对象 ID。
可选参数
通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value, string or JSON string>。
使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。
从列表中删除属性或元素。 示例: --remove property.list <indexToRemove> OR --remove propertyToRemove.
通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=<value>。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
