az ad sp
Gestire le entità servizio Microsoft Entra.
Comandi
Nome | Descrizione | Tipo | Status |
---|---|---|---|
az ad sp create |
Creare un'entità servizio. |
Nucleo | GA |
az ad sp create-for-rbac |
Creare un'entità servizio e configurarne l'accesso alle risorse di Azure. |
Nucleo | GA |
az ad sp credential |
Gestire la password o le credenziali del certificato di un'entità servizio. |
Nucleo | GA |
az ad sp credential delete |
Eliminare la password o le credenziali del certificato di un'entità servizio. |
Nucleo | GA |
az ad sp credential list |
Elencare la password o i metadati delle credenziali del certificato di un'entità servizio. Il contenuto della password o della credenziale del certificato non è recuperabile. |
Nucleo | GA |
az ad sp credential reset |
Reimpostare la password o le credenziali del certificato di un'entità servizio. |
Nucleo | GA |
az ad sp delete |
Eliminare un'entità servizio. |
Nucleo | GA |
az ad sp list |
Elencare le entità servizio. |
Nucleo | GA |
az ad sp owner |
Gestire i proprietari dell'entità servizio. |
Nucleo | GA |
az ad sp owner list |
Elencare i proprietari dell'entità servizio. |
Nucleo | GA |
az ad sp show |
Ottenere i dettagli di un'entità servizio. |
Nucleo | GA |
az ad sp update |
Aggiornare un'entità servizio. |
Nucleo | GA |
az ad sp create
Creare un'entità servizio.
az ad sp create --id
Esempio
Creare un'entità servizio. (generato automaticamente)
az ad sp create --id 00000000-0000-0000-0000-000000000000
Parametri necessari
URI identificatore, ID applicazione o ID oggetto dell'applicazione associata.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID
.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az ad sp create-for-rbac
Creare un'entità servizio e configurarne l'accesso alle risorse di Azure.
L'output include le credenziali che è necessario proteggere. Assicurarsi di non includere queste credenziali nel codice o controllare le credenziali nel controllo del codice sorgente. In alternativa, è consigliabile usare identità gestite se disponibili per evitare la necessità di usare le credenziali.
Per impostazione predefinita, questo comando non assegna alcun ruolo all'entità servizio. È possibile usare --role e --scopes per assegnare un ruolo specifico e restringere l'ambito a una risorsa o a un gruppo di risorse. È anche possibile usare az role assignment create
per creare assegnazioni di ruolo per questa entità servizio in un secondo momento. Per altre informazioni, vedere passaggi per aggiungere un'assegnazione di ruolo.
az ad sp create-for-rbac [--cert]
[--create-cert]
[--display-name]
[--json-auth {false, true}]
[--keyvault]
[--role]
[--scopes]
[--years]
Esempio
Creare senza assegnazione di ruolo.
az ad sp create-for-rbac
Creare usando un nome visualizzato personalizzato.
az ad sp create-for-rbac -n MyApp
Creare con assegnazioni di ruolo Collaboratore in ambiti specificati. Per recuperare l'ID sottoscrizione corrente, eseguire 'az account show --query id --output tsv'.
az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2
Creare usando un certificato autofirmato.
az ad sp create-for-rbac --create-cert
Creare usando una stringa di certificato esistente.
az ad sp create-for-rbac --cert "MIICoT..."
Creare usando un file di certificato esistente.
az ad sp create-for-rbac --cert "@~/cert.pem"
`cert.pem` contains the following content
-----BEGIN CERTIFICATE----- <<< this line is optional
MIICoT...
-----END CERTIFICATE----- <<< this line is optional
Creare usando un certificato autofirmato e archiviarlo in Azure Key Vault.
az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert
Creare usando un certificato esistente in Azure Key Vault.
az ad sp create-for-rbac --keyvault MyVault --cert CertName
Parametri facoltativi
Certificato da usare per le credenziali. Se usato con --keyvault,
, indica il nome del certificato da usare o creare. In caso contrario, specificare una stringa di certificato pubblico con formattazione PEM o DER. Usare @{path}
per caricare da un file. Non includere la chiave privata.
Creare un certificato autofirmato da usare per le credenziali. Solo l'utente del sistema operativo corrente dispone dell'autorizzazione di lettura/scrittura per questo certificato. Usare con --keyvault
per creare il certificato in Key Vault. In caso contrario, verrà creato un certificato in locale.
Nome visualizzato dell'entità servizio. Se non è presente, per impostazione predefinita azure-cli-%Y-%m-%d-%H-%M-%S in cui il suffisso è il momento della creazione.
L'opzione '--sdk-auth' è stata deprecata e verrà rimossa in una versione futura.
Restituire le credenziali dell'entità servizio insieme agli endpoint cloud in formato JSON.
Nome o ID di un insieme di credenziali delle chiavi da usare per la creazione o il recupero di certificati.
Ruolo dell'entità servizio.
L'elenco delimitato da spazi degli ambiti a cui si applica l'assegnazione di ruolo dell'entità servizio. ad esempio, subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Numero di anni per cui le credenziali saranno valide. Impostazione predefinita: 1 anno.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID
.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az ad sp delete
Eliminare un'entità servizio.
az ad sp delete --id
Esempio
Eliminare un'entità servizio.
az ad sp delete --id 00000000-0000-0000-0000-000000000000
Parametri necessari
Nome dell'entità servizio o ID oggetto.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID
.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az ad sp list
Elencare le entità servizio.
Per bassa latenza, per impostazione predefinita, verranno restituiti solo i primi 100 a meno che non si forniscano argomenti di filtro o si usi "--all".
az ad sp list [--all]
[--display-name]
[--filter]
[--show-mine]
[--spn]
Parametri facoltativi
Elencare tutte le entità, prevedere un lungo ritardo se in un'organizzazione di grandi dimensioni.
Nome visualizzato dell'oggetto o relativo prefisso.
Filtro OData, ad esempio --filter "displayname eq 'test' e servicePrincipalType eq 'Application'".
Elencare le entità di proprietà dell'utente corrente.
Nome dell'entità servizio.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID
.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az ad sp show
Ottenere i dettagli di un'entità servizio.
az ad sp show --id
Esempio
Ottenere i dettagli di un'entità servizio con appId.
az ad sp show --id 00000000-0000-0000-0000-000000000000
Ottenere i dettagli di un'entità servizio con ID.
az ad sp show --id 00000000-0000-0000-0000-000000000000
Ottenere i dettagli di un'entità servizio con l'URI dell'identificatore.
az ad sp show --id api://myapp
Parametri necessari
Nome dell'entità servizio o ID oggetto.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID
.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az ad sp update
Aggiornare un'entità servizio.
az ad sp update --id
[--add]
[--force-string]
[--remove]
[--set]
Esempio
aggiornare un'entità servizio (generata automaticamente)
az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All
Parametri necessari
Nome dell'entità servizio o ID oggetto.
Parametri facoltativi
Aggiungere un oggetto a un elenco di oggetti specificando un percorso e coppie chiave-valore. Esempio: --add property.listProperty <key=value, string or JSON string>
.
Quando si usa 'set' o 'add', mantenere i valori letterali stringa anziché tentare di eseguire la conversione in JSON.
Rimuovere una proprietà o un elemento da un elenco. Esempio: --remove property.list <indexToRemove>
OR --remove propertyToRemove
.
Aggiornare un oggetto specificando un percorso di proprietà e un valore da impostare. Esempio: --set property1.property2=<value>
.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID
.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.