Inleiding tot verificatie in Azure AutomationIntroduction to authentication in Azure Automation

Met Azure Automation kunt u taken automatiseren voor bronnen in Azure, on-premises en bij andere cloudproviders zoals Amazon Web Services (AWS).Azure Automation allows you to automate tasks against resources in Azure, on-premises, and with other cloud providers such as Amazon Web Services (AWS). Om een runbook in staat te stellen de vereiste acties uit te voeren, moet het machtigingen hebben om veilig toegang te krijgen tot de resources met de minimale rechten die vereist zijn binnen het abonnement.In order for a runbook to perform its required actions, it must have permissions to securely access the resources with the minimal rights required within the subscription.

In dit artikel worden de verschillende verificatiescenario's beschreven die door Azure Automation worden ondersteund, en wordt uitgelegd hoe u aan de slag kunt gaan afhankelijk van de omgeving(en) die u wilt beheren.This article will cover the various authentication scenarios supported by Azure Automation and will show you how to get started based on the environment or environments you need to manage.

Overzicht van Automation-accountAutomation Account overview

Wanneer u Azure Automation voor het eerst start, moet u ten minste één Automation-account maken.When you start Azure Automation for the first time, you must create at least one Automation account. Met Automation-accounts kunt u uw Automation-resources (runbooks, assets, configuraties) isoleren van de resources in andere Automation-accounts.Automation accounts allow you to isolate your Automation resources (runbooks, assets, configurations) from the resources contained in other Automation accounts. U kunt Automation-accounts gebruiken om resources onder te verdelen in afzonderlijke logische omgevingen.You can use Automation accounts to separate resources into separate logical environments. U kunt bijvoorbeeld één account maken voor ontwikkeling, één voor productie, en één voor uw on-premises omgeving.For example, you might use one account for development, another for production, and another for your on-premises environment. Een Azure Automation-account verschilt van uw Microsoft-account of de accounts die zijn gemaakt in uw Azure-abonnement.An Azure Automation account is different from your Microsoft account or accounts created in your Azure subscription.

De Automation-resources voor elk Automation-account zijn gekoppeld aan één Azure-regio, maar Automation-accounts kunnen alle resources in uw abonnement beheren.The Automation resources for each Automation account are associated with a single Azure region, but Automation accounts can manage all the resources in your subscription. De voornaamste reden om Automation-accounts in verschillende regio's te maken zou zijn als u beleid hebt waardoor gegevens en resources moeten worden geïsoleerd in een specifieke regio.The main reason to create Automation accounts in different regions would be if you have policies that require data and resources to be isolated to a specific region.

Alle taken die u uitvoert op resources met behulp van Azure Resource Manager en de Azure-cmdlets in Azure Automation moeten worden geverifieerd bij Azure met behulp van verificatie op basis van organisatie-identiteitreferenties van Azure Active Directory.All of the tasks that you perform against resources using Azure Resource Manager and the Azure cmdlets in Azure Automation must authenticate to Azure using Azure Active Directory organizational identity credential-based authentication. De oorspronkelijke verificatiemethode voor de klassieke Azure-portal was gebaseerd op certificaten, maar het instellen hiervan was ingewikkeld.Certificate-based authentication was the original authentication method with Azure classic, but it was complicated to set up. Verificatie bij Azure met Azure AD-gebruiker is in 2014 geïntroduceerd, niet alleen met het doel om het proces waarmee een verificatieaccount kon worden geconfigureerd te vereenvoudigen, maar ook om de mogelijkheid te ondersteunen om op een niet-interactieve wijze bij Azure te verifiëren met één gebruikersaccount dat zowel in Azure Resource Manager als in de klassieke resources werkte.Authenticating to Azure with Azure AD user was introduced back in 2014 to not only simplify the process to configure an Authentication account, but also support the ability to non-interactively authenticate to Azure with a single user account that worked with both Azure Resource Manager and classic resources.

Wanneer u op dit moment in de Azure-portal een nieuw Automation-account maakt, wordt automatisch het volgende gemaakt:Currently when you create a new Automation account in the Azure portal, it automatically creates:

  • Uitvoeren als-account voor het maken van een nieuwe service-principal in Azure Active Directory, een certificaat, en het toewijzen van RBAC (op rollen gebaseerd toegangsbeheer), dat wordt gebruikt om Resource Manager-resources te beheren met runbooks.Run As account which creates a new service principal in Azure Active Directory, a certificate, and assigns the Contributor role-based access control (RBAC), which is used to manage Resource Manager resources using runbooks.
  • Klassiek Uitvoeren als-account, door een beheercertificaat te uploaden dat wordt gebruikt om klassieke Azure-resources te beheren met runbooks.Classic Run As account by uploading a management certificate, which is used to manage Azure classic resources using runbooks.

Op rollen gebaseerd toegangsbeheer is beschikbaar in Azure Resource Manager voor het toekennen van toegestane acties aan een Azure AD-gebruikersaccount en Uitvoeren als-account, en om die service-principal te verifiëren.Role-based access control is available with Azure Resource Manager to grant permitted actions to an Azure AD user account and Run As account, and authenticate that service principal. Lees het artikel Op rollen gebaseerd toegangsbeheer in Azure Automation voor meer informatie die u helpt bij het ontwikkelen van een model voor het beheren van machtigingen in Automation.Please read Role-based access control in Azure Automation article for further information to help develop your model for managing Automation permissions.

Runbooks die op een hybride Runbook Worker in uw datacenter of op basis van computingservices in AWS worden uitgevoerd, kunnen niet dezelfde methode gebruiken die doorgaans wordt gebruikt voor runbooks die worden geverifieerd voor Azure-resources.Runbooks running on a Hybrid Runbook Worker in your datacenter or against computing services in AWS cannot use the same method that is typically used for runbooks authenticating to Azure resources. Dit is omdat deze resources buiten Azure worden uitgevoerd en er daarom voor deze resources eigen beveiligingsreferenties moeten worden gedefinieerd in Automation, zodat ze kunnen worden geverifieerd voor resources waartoe ze lokaal toegang hebben.This is because those resources are running outside of Azure and therefore, requires their own security credentials defined in Automation to authenticate to resources that they access locally.

VerificatiemethodenAuthentication methods

De volgende tabel bevat een overzicht van de verschillende verificatiemethoden voor elke omgeving die wordt ondersteund door Azure Automation, evenals het artikel waarin wordt beschreven hoe u verificatie voor uw runbooks moet instellen.The following table summarizes the different authentication methods for each environment supported by Azure Automation and the article describing how to setup authentication for your runbooks.

MethodeMethod OmgevingEnvironment ArtikelArticle
Azure AD-gebruikersaccountAzure AD User Account Azure Resource Manager en de klassieke Azure-portalAzure Resource Manager and Azure classic Runbooks verifiëren met een Azure AD-gebruikersaccountAuthenticate Runbooks with Azure AD User account
Azure Uitvoeren als-accountAzure Run As Account Azure Resource ManagerAzure Resource Manager Runbooks verifiëren met een Azure Uitvoeren als-accountAuthenticate Runbooks with Azure Run As account
Klassieke Azure Uitvoeren als-accountAzure Classic Run As Account Klassieke Azure-portalAzure classic Runbooks verifiëren met een Azure Uitvoeren als-accountAuthenticate Runbooks with Azure Run As account
Windows-verificatieWindows Authentication On-premises datacenterOn-Premises Datacenter Runbooks verifiëren voor Hybrid Runbook WorkersAuthenticate Runbooks for Hybrid Runbook Workers
AWS-referentiesAWS Credentials Amazon Web ServicesAmazon Web Services Runbooks verifiëren met Amazon Web Services (AWS)Authenticate Runbooks with Amazon Web Services (AWS)