Panoramica dell'autenticazione di account con Automazione di Azure

Automazione di Azure consente di automatizzare le attività sulle risorse in Azure, in locale e con altri provider di servizi cloud, ad esempio Amazon Web Services (AWS). È possibile usare i runbook per automatizzare le attività o un ruolo di lavoro ibrido per runbook se si hanno processi aziendali o operativi da gestire all'esterno di Azure. L'uso di uno di questi ambienti richiede autorizzazioni per accedere in modo sicuro alle risorse con i diritti minimi necessari.

Questo articolo illustra i diversi scenari di autenticazione supportati da Automazione di Azure e descrive come iniziare partendo da uno o più ambienti che è necessario gestire.

Account di Automazione

Al primo avvio di Automazione di Azure sarà necessario creare almeno un account di Automazione. Gli account di automazione consentono di isolare le risorse di Automazione, i runbook, gli asset e le configurazioni dalle risorse di altri account. È possibile usare gli account di Automazione per separare le risorse in ambienti logici separati o responsabilità delegate. Ad esempio, è possibile usare un account per lo sviluppo, uno per la produzione e un altro per l'ambiente locale. In alternativa, è possibile dedicare un account di Automazione per gestire gli aggiornamenti del sistema operativo in tutti i computer con Gestione aggiornamenti.

Un account di Automazione di Azure è diverso dagli account Microsoft creati nella sottoscrizione di Azure. Per un'introduzione alla creazione di un account di Automazione, vedere Creare un account di Automazione.

Risorse di Automazione

Le risorse di Automazione per ogni account di Automazione sono associate a una singola area di Azure, ma l'account può gestire tutte le risorse nella sottoscrizione di Azure. Il motivo principale per cui creare gli account di Automazione in aree diverse è la presenza di criteri che richiedono che dati e risorse siano isolati in un'area specifica.

Tutte le attività eseguite sulle risorse con Azure Resource Manager e i cmdlet di PowerShell in Automazione di Azure devono eseguire l'autenticazione in Azure con l'autenticazione basata su credenziali dell'identità dell'organizzazione di Azure Active Directory (Azure AD).

Identità gestite

Un'identità gestita da Azure Active Directory (Azure AD) consente al runbook di accedere facilmente ad altre risorse protette da Azure AD. L'identità viene gestita dalla piattaforma Azure e non richiede il provisioning o la rotazione dei segreti. Per altre informazioni sulle identità gestite in Azure AD, vedere Identità gestite per le risorse di Azure.

Le identità gestite sono il modo consigliato per eseguire l'autenticazione nei runbook ed è il metodo di autenticazione predefinito per l'account di Automazione.

Nota

Quando si crea un account di Automazione, l'opzione per creare un account RunAs non è più disponibile. Tuttavia, microsoft continua a supportare un account RunAs per gli account di Automazione esistenti e nuovi. È possibile creare un account RunAs nell'account di Automazione dal portale di Azure o tramite PowerShell.

Ecco alcuni dei vantaggi dell'uso delle identità gestite:

  • L'uso di un'identità gestita anziché dell'account RunAs di Automazione semplifica la gestione. Non è necessario rinnovare il certificato usato da un account RunAs.

  • Le identità gestite possono essere usate senza costi aggiuntivi.

  • Non è necessario specificare l'oggetto connessione RunAs nel codice del runbook. È possibile accedere alle risorse usando l'identità gestita dell'account di Automazione da un runbook senza creare certificati, connessioni, account RunAs e così via.

Un account di Automazione può eseguire l'autenticazione usando due tipi di identità gestite:

  • Un'identità assegnata dal sistema viene associata all'applicazione e viene eliminata in caso di eliminazione dell'app. A un'app può essere associata una sola identità assegnata dal sistema.

  • Un'identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata all'app. Un'app può avere più identità assegnate dall'utente.

Nota

Le identità assegnate dall'utente sono supportate solo per i processi cloud. Per altre informazioni sulle diverse identità gestite, vedere Gestire i tipi di identità.

Per informazioni dettagliate sull'uso delle identità gestite, vedere Abilitare l'identità gestita per Automazione di Azure.

Account RunAs

Gli account RunAs in Automazione di Azure forniscono l'autenticazione per la gestione delle risorse o delle risorse di Azure Resource Manager distribuite nel modello di distribuzione classica. Esistono due tipi di account RunAs in Automazione di Azure:

Per creare o rinnovare un account RunAs, le autorizzazioni sono necessarie a tre livelli:

  • Sottoscrizione
  • Azure Active Directory (Azure AD) e
  • Account di Automazione

Nota

Automazione di Azure non crea automaticamente l'account RunAs, è stato sostituito usando le identità gestite. Tuttavia, microsoft continua a supportare un account RunAs per gli account di Automazione esistenti e nuovi. È possibile creare un account RunAs nell'account di Automazione dal portale di Azure o tramite PowerShell.

Autorizzazioni per le sottoscrizioni

È necessaria l'autorizzazione Microsoft.Authorization/*/Write . Questa autorizzazione viene ottenuta tramite l'appartenenza a uno dei ruoli predefiniti di Azure seguenti:

Per configurare o rinnovare gli account RunAs classici, è necessario avere il ruolo di coamministratore a livello di sottoscrizione. Per altre informazioni sulle autorizzazioni della sottoscrizione classica, vedere Amministratori della sottoscrizione classica di Azure.

Autorizzazioni di Azure AD

Per poter creare o rinnovare l'entità servizio, è necessario essere membri di uno dei ruoli predefiniti di Azure AD seguenti:

L'appartenenza può essere assegnata a TUTTI gli utenti nel tenant a livello di directory, ovvero il comportamento predefinito. È possibile concedere l'appartenenza a entrambi i ruoli a livello di directory. Per altre informazioni, vedere Who dispone dell'autorizzazione per aggiungere applicazioni all'istanza di Azure AD?.

Autorizzazioni dell'account di Automazione

Per poter creare o aggiornare l'account di Automazione, è necessario essere membri di uno dei ruoli dell'account di Automazione seguenti:

Per altre informazioni sui modelli di distribuzione di Azure Resource Manager e classica, vedere Resource Manager e distribuzione classica.

Nota

Le sottoscrizioni Azure Cloud Solution Provider (CSP) supportano solo il modello di Azure Resource Manager. I servi diversi da Azure Resource Manager non sono disponibili nel programma. Quando si usa una sottoscrizione CSP, non viene creato l'account RunAs classico di Azure, ma l'account RunAs di Azure. Per altre informazioni sulle sottoscrizioni CSP, vedere Servizi disponibili nelle sottoscrizioni CSP.

Quando si crea un account di Automazione, l'account RunAs viene creato per impostazione predefinita contemporaneamente con un certificato autofirmato. Se si sceglie di non crearlo insieme all'account di Automazione, è possibile crearlo singolarmente in un secondo momento. Un account RunAs classico di Azure è facoltativo e viene creato separatamente se è necessario gestire le risorse classiche.

Nota

Automazione di Azure non crea automaticamente l'account RunAs. È stato sostituito usando le identità gestite.

Se si vuole usare un certificato rilasciato dall'autorità di certificazione aziendale o di terze parti anziché dal certificato autofirmato predefinito, è possibile usare lo script di PowerShell per creare un account RunAs per gli account RunAs e RunAs classici.

account RunAs

Quando si crea un account RunAs, esegue le attività seguenti:

  • Crea un'applicazione Azure AD con un certificato autofirmato, crea un account entità servizio per l'applicazione in Azure AD e assegna il ruolo Collaboratore per l'account nella sottoscrizione corrente. È possibile modificare l'impostazione del certificato in Lettore o in qualsiasi altro ruolo. Per altre informazioni, vedere Controllo degli accessi in base al ruolo in Automazione di Azure.

  • Crea un asset del certificato di Automazione denominato AzureRunAsCertificate nell'account di Automazione specificato. L'asset del certificato contiene la chiave privata del certificato usata dall'applicazione Azure AD.

  • Crea un asset della connessione di Automazione denominato AzureRunAsConnection nell'account di Automazione specificato. L'asset di connessione contiene l'ID applicazione, l'ID tenant, l'ID sottoscrizione e l'identificazione personale del certificato.

Account RunAs classico di Azure

Quando si crea un account RunAs classico di Azure, esegue le attività seguenti:

Nota

Per creare o rinnovare questo tipo di account RunAs, è necessario essere coamministratore nella sottoscrizione.

  • Crea un certificato di gestione nella sottoscrizione.

  • Crea un asset del certificato di Automazione denominato AzureClassicRunAsCertificate nell'account di Automazione specificato. L'asset di certificato contiene la chiave privata del certificato usata dal certificato di gestione.

  • Crea un asset della connessione di Automazione denominato AzureClassicRunAsConnection nell'account di Automazione specificato. L'asset della connessione contiene il nome della sottoscrizione, l'ID sottoscrizione e il nome dell'asset del certificato.

Entità servizio per l'account RunAs

L'entità servizio per un account RunAs non dispone delle autorizzazioni per leggere Azure AD per impostazione predefinita. Se vogliono aggiungere autorizzazioni di lettura o gestione di Azure AD, è necessario concederle all'entità servizio in Autorizzazioni API. Per altre informazioni, vedere Aggiungere autorizzazioni per accedere all'API Web.

Autorizzazioni dell'account RunAs

Questa sezione definisce le autorizzazioni sia per i normali account RunAs che per gli account RunAs classici.

  • Per creare o aggiornare un account RunAs, un amministratore dell'applicazione in Azure Active Directory e un proprietario nella sottoscrizione possono completare tutte le attività.
  • Per configurare o rinnovare gli account RunAs classici, è necessario avere il ruolo di coamministratore a livello di sottoscrizione. Per altre informazioni sulle autorizzazioni della sottoscrizione classica, vedere Amministratori della sottoscrizione classica di Azure.

Nel caso in cui i compiti siano separati, nella tabella seguente è disponibile un elenco delle attività, dei relativi cmdlet e delle autorizzazioni necessarie:

Attività Cmdlet Autorizzazioni minime Dove impostare le autorizzazioni
Creare un'applicazione Azure AD New-AzADApplication Ruolo di Sviluppatore di applicazioni1
Azure AD Home > Azure AD > Registrazioni app
Aggiungere una credenziale all'applicazione. New-AzADAppCredential Amministratore di applicazioni o Amministratore globale1
Azure AD Home > Azure AD > Registrazioni app
Creare e ottenere un'entità servizio di Azure AD New-AzADServicePrincipal
Get-AzADServicePrincipal
Amministratore di applicazioni o Amministratore globale1
Azure AD Home > Azure AD > Registrazioni app
Assegnare o ottenere il ruolo di Azure per l'entità specificata New-AzRoleAssignment
Get-AzRoleAssignment
Amministratore accesso utente o proprietario o disporre delle autorizzazioni seguenti:

Microsoft.Authorization/Operations/readMicrosoft.Authorization
/permissions
/readMicrosoft.Authorization/roleDefinitions/readMicrosoft.Authorization
/roleAssignments/writeMicrosoft.Authorization
/roleAssignments/readMicrosoft.Authorization
/roleAssignments/delete


Sottoscrizione
Nome> sottoscrizione Home > Subscriptions ><- Controllo di accesso (IAM)
Creare o rimuovere un certificato di Automazione New-AzAutomationCertificate
Remove-AzAutomationCertificate
Collaboratore nel gruppo di risorse Gruppo di risorse dell'account di Automazione
Creare o rimuovere una connessione di Automazione New-AzAutomationConnection
Remove-AzAutomationConnection
Collaboratore nel gruppo di risorse Gruppo di risorse dell'account di Automazione

1 Gli utenti non amministratori nel tenant Azure AD possono registrare applicazioni AD se l'opzione Utenti del tenant di Azure AD può registrare le applicazioni nella pagina Impostazioni utente è impostata su . Se l'impostazione di registrazione dell'applicazione è impostata su No, l'utente che esegue questa azione deve essere quello definito in questa tabella.

Se l'utente non è membro dell'istanza di Active Directory della sottoscrizione prima di essere aggiunto al ruolo di amministratore globale della sottoscrizione, viene aggiunto come guest. In questa situazione viene visualizzato un You do not have permissions to create… avviso nella pagina Aggiungi account di Automazione .

Per verificare che la situazione che ha prodotto il messaggio di errore è stata risolta:

  1. Nel riquadro di Azure Active Directory del portale di Azure selezionare Utenti e gruppi.
  2. Selezionare Tutti gli utenti.
  3. Scegliere il nome, quindi selezionare Profilo.
  4. Assicurarsi che il valore dell'attributo Tipo utente nel profilo dell'utente non sia impostato su Guest.

Controllo degli accessi in base al ruolo

Il controllo degli accessi in base al ruolo è disponibile con Azure Resource Manager per concedere a un account utente di Azure AD e a un account RunAs l'autorizzazione per le azioni consentite e per l'autenticazione dell'entità servizio. Per altre informazioni utili per sviluppare il modello per la gestione delle autorizzazioni di Automazione, vedere Controllo degli accessi in base al ruolo in Automazione di Azure.

Se sono presenti controlli di sicurezza rigorosi per l'assegnazione di autorizzazioni nei gruppi di risorse, è necessario assegnare l'appartenenza all'account RunAs al ruolo Collaboratore nel gruppo di risorse.

Nota

È consigliabile non usare il ruolo Collaboratore Log Analytics per eseguire processi di automazione. Creare invece il ruolo personalizzato collaboratore Automazione di Azure e usarlo per le azioni correlate all'account di Automazione.

Autenticazione dei runbook con ruolo di lavoro ibrido per runbook

I runbook in esecuzione in un ruolo di lavoro ibrido per runbook nel data center o nei servizi di calcolo in altri ambienti cloud come AWS, non possono usare lo stesso metodo usato in genere per l'autenticazione dei runbook nelle risorse di Azure. Il motivo è che queste risorse vengono eseguite all'esterno di Azure e di conseguenza devono usare le proprie credenziali di sicurezza definite in Automazione per autenticare le risorse cui accedono in locale. Per altre informazioni sull'autenticazione di runbook con i ruoli di lavoro per runbook, vedere Eseguire runbook in un ruolo di lavoro ibrido per runbook.

Per i runbook che usano i ruoli di lavoro ibridi per runbook nelle macchine virtuali di Azure, è possibile usare l'autenticazione dei runbook con identità gestite invece degli account RunAs per l'autenticazione con le risorse di Azure.

Passaggi successivi