Sdílet prostřednictvím


Správa přihlašovacích údajů ve službě Automation

Prostředek přihlašovacích údajůAutomatizace obsahuje objekt, který obsahuje pověření zabezpečení, například uživatelské jméno a heslo. Runbooky a konfigurace DSC používají rutiny, které přijímají objekt PSCredential pro ověřování. Případně můžou extrahovat uživatelské jméno a heslo objektu PSCredential , aby bylo možné poskytnout některé aplikaci nebo službě vyžadující ověření.

Poznámka:

Mezi zabezpečené prostředky ve službě Azure Automation patří přihlašovací údaje, certifikáty, připojení a šifrované proměnné. Tyto prostředky se šifrují a ukládají ve službě Azure Automation pomocí jedinečného klíče, který se vygeneruje pro každý účet Automation. Azure Automation tento klíč ukládá ve službě Key Vault spravované systémem. Před uložením zabezpečeného prostředku služba Automation načte klíč ze služby Key Vault a pak ho použije k šifrování prostředku.

Poznámka:

Informace o zobrazování nebo odstraňování osobních údajů najdete v tématu Obecné žádosti subjektů údajů o GDPR, žádosti subjektů údajů Azure o GDPR nebo žádosti subjektů údajů o gdpr ve Windows v závislosti na vaší konkrétní oblasti a potřebách. Další informace o GDPR najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR na portálu Service Trust Portal.

Rutiny PowerShellu používané pro přístup k přihlašovacím údajům

Rutiny v následující tabulce vytvářejí a spravují přihlašovací údaje automation pomocí PowerShellu. Dodávají se jako součást modulů Az.

Rutina Popis
Get-AzAutomationCredential Načte objekt CredentialInfo obsahující metadata o přihlašovacích údajích. Rutina nenačte PSCredential samotný objekt.
New-AzAutomationCredential Vytvoří nové přihlašovací údaje služby Automation.
Remove-AzAutomationCredential Odebere přihlašovací údaje automation.
Set-AzAutomationCredential Nastaví vlastnosti pro existující přihlašovací údaje automation.

Další rutiny používané pro přístup k přihlašovacím údajům

Rutiny v následující tabulce slouží k přístupu k přihlašovacím údajům v runboocích a konfiguracích DSC.

Rutina Popis
Get-AutomationPSCredential PSCredential Získá objekt, který se má použít v runbooku nebo konfiguraci DSC. Nejčastěji byste měli místo rutiny použít tuto interní rutinuGet-AzAutomationCredential, protože druhá rutina načítá jenom informace o přihlašovacích údajích. Tyto informace obvykle nejsou užitečné k předání do jiné rutiny.
Get-Credential Získá přihlašovací údaje s výzvou k zadání uživatelského jména a hesla. Tato rutina je součástí výchozího modulu Microsoft.PowerShell.Security. Viz výchozí moduly.
New-AzureAutomationCredential Vytvoří asset přihlašovacích údajů. Tato rutina je součástí výchozího modulu Azure. Viz výchozí moduly.

Pokud chcete načíst PSCredential objekty v kódu, musíte modul importovat Orchestrator.AssetManagement.Cmdlets . Další informace najdete v tématu Správa modulů ve službě Azure Automation.

Import-Module Orchestrator.AssetManagement.Cmdlets -ErrorAction SilentlyContinue

Poznámka:

Měli byste se vyhnout použití proměnných v parametru Name .Get-AutomationPSCredential Jejich použití může komplikovat zjišťování závislostí mezi runbooky nebo konfigurací DSC a prostředky přihlašovacích údajů v době návrhu.

Funkce Pythonu, které přistupuje k přihlašovacím údajům

Funkce v následující tabulce slouží k přístupu k přihlašovacím údajům v runbooku Python 2 a 3. Runbooky Pythonu 3 jsou aktuálně ve verzi Preview.

Function Popis
automationassets.get_automation_credential Načte informace o assetu přihlašovacích údajů.

Poznámka:

automationassets Naimportujte modul v horní části runbooku Pythonu pro přístup k funkcím assetu.

Vytvoření nového prostředku přihlašovacích údajů

Nový prostředek přihlašovacích údajů můžete vytvořit pomocí webu Azure Portal nebo windows PowerShellu.

Vytvoření nového prostředku přihlašovacích údajů pomocí webu Azure Portal

  1. V levém podokně účtu Automation vyberte v části Sdílené prostředky přihlašovací údaje.

  2. Na stránce Přihlašovací údaje vyberte Přidat přihlašovací údaje.

  3. V podokně New Credential (Nové přihlašovací údaje) zadejte odpovídající název přihlašovacích údajů za vašimi standardy pojmenování.

  4. Do pole Uživatelské jméno zadejte své přístupové ID.

  5. Do obou polí hesel zadejte tajný přístupový klíč.

    Vytvoření nových přihlašovacích údajů

  6. Pokud je zaškrtnuté políčko vícefaktorového ověřování, zrušte jeho zaškrtnutí.

  7. Kliknutím na Vytvořit uložíte nový asset přihlašovacích údajů.

Poznámka:

Azure Automation nepodporuje uživatelské účty, které používají vícefaktorové ověřování.

Vytvoření nového prostředku přihlašovacích údajů pomocí Windows PowerShellu

Následující příklad ukazuje, jak vytvořit nový asset přihlašovacích údajů automation. Nejprve PSCredential se vytvoří objekt s názvem a heslem a pak se použije k vytvoření prostředku přihlašovacích údajů. Místo toho můžete pomocí rutiny Get-Credential vyzvat uživatele, aby zadal jméno a heslo.

$user = "MyDomain\MyUser"
$pw = ConvertTo-SecureString "PassWord!" -AsPlainText -Force
$cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $user, $pw
New-AzureAutomationCredential -AutomationAccountName "MyAutomationAccount" -Name "MyCredential" -Value $cred

Získání prostředku přihlašovacích údajů

Konfigurace runbooku nebo DSC načte prostředek přihlašovacích údajů pomocí interní Get-AutomationPSCredential rutiny. Tato rutina získá PSCredential objekt, který můžete použít s rutinou, která vyžaduje přihlašovací údaje. Můžete také načíst vlastnosti objektu přihlašovacích údajů, které chcete použít jednotlivě. Objekt má vlastnosti uživatelského jména a zabezpečeného hesla.

Poznámka:

Rutina Get-AzAutomationCredential nenačte PSCredential objekt, který lze použít k ověřování. Poskytuje pouze informace o přihlašovacích údaji. Pokud potřebujete v runbooku použít přihlašovací údaje, musíte ho PSCredential načíst jako objekt pomocí Get-AutomationPSCredential.

Alternativně můžete použít GetNetworkCredential metoda k načtení NetworkCredential objektu, který představuje nezabezpečenou verzi hesla.

Příklad textového runbooku

Následující příklad ukazuje, jak použít přihlašovací údaje PowerShellu v runbooku. Načte přihlašovací údaje a přiřadí jeho uživatelské jméno a heslo proměnným.

$myCredential = Get-AutomationPSCredential -Name 'MyCredential'
$userName = $myCredential.UserName
$securePassword = $myCredential.Password
$password = $myCredential.GetNetworkCredential().Password

Přihlašovací údaje můžete použít také k ověření v Azure pomocí connect-AzAccount po prvním připojení pomocí spravované identity. V tomto příkladu se používá spravovaná identita přiřazená systémem.

# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process

# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext

# Get credential
$myCred = Get-AutomationPSCredential -Name "MyCredential"
$userName = $myCred.UserName
$securePassword = $myCred.Password
$password = $myCred.GetNetworkCredential().Password

$myPsCred = New-Object System.Management.Automation.PSCredential ($userName,$securePassword)

# Connect to Azure with credential
$AzureContext = (Connect-AzAccount -Credential $myPsCred -TenantId $AzureContext.Subscription.TenantId).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription `
    -TenantId $AzureContext.Subscription.TenantId `
    -DefaultProfile $AzureContext

Příklad grafického runbooku

Aktivitu pro interní Get-AutomationPSCredential rutinu můžete přidat do grafického runbooku tak, že kliknete pravým tlačítkem na přihlašovací údaje v podokně Knihovna v grafickém editoru a vyberete Přidat na plátno.

Přidání rutiny přihlašovacích údajů na plátno

Následující obrázek ukazuje příklad použití přihlašovacích údajů v grafickém runbooku. V tomto případě přihlašovací údaje poskytují ověřování runbooku k prostředkům Azure, jak je popsáno v tématu Použití ID Microsoft Entra ve službě Azure Automation k ověření v Azure. První aktivita načte přihlašovací údaje, které mají přístup k předplatnému Azure. Aktivita připojení účtu pak pomocí těchto přihlašovacích údajů poskytuje ověřování pro všechny aktivity, které po něm přicházejí. Tady se používá propojení kanálu, protože Get-AutomationPSCredential očekává jeden objekt.

Pracovní postup přihlašovacích údajů s příkladem propojení kanálu

Použití přihlašovacích údajů v konfiguraci DSC

Přestože konfigurace DSC ve službě Azure Automation můžou pracovat s prostředky přihlašovacích údajů pomocí Get-AutomationPSCredential, můžou také předávat prostředky přihlašovacích údajů prostřednictvím parametrů. Další informace najdete v tématu Kompilace konfigurací ve službě Azure Automation DSC.

Další kroky