az ad sp

管理自動化驗證Azure Active Directory服務主體。

命令

az ad sp create

建立服務主體。

az ad sp create-for-rbac

建立服務主體,並設定其對 Azure 資源的存取權。

az ad sp credential

管理服務主體的認證。

az ad sp credential delete

刪除服務主體的認證。

az ad sp credential list

列出服務主體的認證。

az ad sp credential reset

重設服務主體認證。

az ad sp delete

刪除服務主體及其角色指派。

az ad sp list

列出服務主體。

az ad sp owner

管理服務主體擁有者。

az ad sp owner list

列出服務主體擁有者。

az ad sp show

取得服務主體的詳細資料。

az ad sp update

更新服務主體。

az ad sp create

建立服務主體。

az ad sp create --id

範例

建立服務主體。 自動產生的 ()

az ad sp create --id 00000000-0000-0000-0000-000000000000

必要參數

--id

相關聯應用程式的識別碼 URI、應用程式識別碼或物件識別碼。

az ad sp create-for-rbac

建立服務主體,並設定其對 Azure 資源的存取權。

輸出包含您必須保護的認證。 請務必不要在程式碼中包含這些認證,或是將認證簽入原始檔控制中。 或者,如果可以使用,請考慮使用 受控識別 ,以避免需要使用認證。

根據預設,此命令不會將任何角色指派給服務主體。 您可以使用 --role 和 --scopes 來指派特定角色,並將範圍縮小至資源或資源群組。 您稍後也可以使用 az role assignment create 來建立此服務主體的角色指派。 如需詳細資訊 ,請參閱新增角色指派的步驟

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--sdk-auth {false, true}]
                         [--skip-assignment {false, true}]
                         [--years]

範例

建立而不指派角色。

az ad sp create-for-rbac

使用自訂顯示名稱建立 。

az ad sp create-for-rbac -n "MyApp"

使用指定範圍上的參與者角色指派來建立 。 若要擷取目前的訂用帳戶識別碼,請執行 `az account show --query id --output tsv` 。

az ad sp create-for-rbac -n "MyApp" --role Contributor --scopes /subscriptions/{subscriptionId}/resourceGroups/{resourceGroup1} /subscriptions/{subscriptionId}/resourceGroups/{resourceGroup2}

使用自我簽署憑證建立。

az ad sp create-for-rbac --create-cert

使用自我簽署憑證建立,並將它儲存在 KeyVault 內。

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

在 KeyVault 中使用現有的憑證建立。

az ad sp create-for-rbac --keyvault MyVault --cert CertName

選擇性參數

--cert

用於認證的憑證。

--create-cert

建立要用於認證的自我簽署憑證。 只有目前的 OS 使用者具有此憑證的讀取/寫入權限。

--display-name --name -n

服務主體的顯示名稱。 如果沒有,則預設為 azure-cli-%Y-%m-%d-%H-%M-%S,其中尾碼是建立的時間。

--keyvault

用來建立或擷取憑證的 KeyVault 名稱或識別碼。

--role

服務主體的角色。

--scopes

服務主體角色指派所套用的範圍空間分隔清單。 例如/subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

--sdk-auth

輸出結果與 Azure SDK 驗證檔案相容。

接受的值: false, true
--skip-assignment

無作業。

接受的值: false, true
--years

認證有效的年數。 預設值:1 年。

az ad sp delete

刪除服務主體及其角色指派。

az ad sp delete --id

範例

刪除服務主體及其角色指派。 自動產生的 ()

az ad sp delete --id 00000000-0000-0000-0000-000000000000

必要參數

--id

服務主體名稱或物件識別碼。

az ad sp list

列出服務主體。

針對低延遲,預設只會傳回前 100 個,除非您提供篩選引數或使用 「--all」。

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

選擇性參數

--all

列出所有實體,如果位於大型組織下,則預期會延遲很長。

--display-name

物件的顯示名稱或其前置詞。

--filter

OData 篩選準則,例如 --filter 「displayname eq 'test' and servicePrincipalType eq 'Application'」。

--show-mine

列出目前使用者所擁有的實體。

--spn

服務主體名稱。

az ad sp show

取得服務主體的詳細資料。

az ad sp show --id

範例

使用 appId 取得服務主體的詳細資料。

az ad sp show --id 00000000-0000-0000-0000-000000000000

取得識別碼為的服務主體詳細資料。

az ad sp show --id 00000000-0000-0000-0000-000000000000

取得識別碼 URI 的服務主體詳細資料。

az ad sp show --id api://myapp

必要參數

--id

服務主體名稱或物件識別碼。

az ad sp update

更新服務主體。

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

範例

更新服務主體 (自動產生的)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

必要參數

--id

服務主體名稱或物件識別碼。

選擇性參數

--add

藉由指定路徑和索引鍵值組,將 物件新增至物件清單。 範例:--add property.listProperty <key=value、string 或 JSON string>。

--force-string

使用 'set' 或 'add' 時,請保留字元串常值,而不是嘗試轉換成 JSON。

--remove

從清單中移除屬性或專案。 範例:--remove property.list OR --remove propertyToRemove。

--set

指定要設定的屬性路徑和值來更新物件。 範例:--set property1.property2=.