GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Conectar con PowerShell a Azure utilizando un Service Principal con Contraseña


Si trabajamos de forma habitual con Azure, antes o después nos encontraremos con la necesidad de poder autenticarnos de forma no interactiva con PowerShell en Azure, algo que podemos realizar utilizando un Service Principal con Contraseña (lo que vendría a ser una cuenta de servicio en un entorno tradicional u On-Premise), siempre teniendo en cuenta lo delicado que es todo esto desde el punto de vista de la seguridad (concedamos permisos mínimos, reciclemos las contraseñas con periodicidad, e idealmente que la contraseña esté almacenada en un Key Vault y que ninguna persona sea conocedora de la misma), ya que al final es Cloud, y estamos en Internet, en vivo y en directo.

Azure está de moda, y cada día vamos a necesitar más poder automatizar procesos, de una u otra forma, o bien acceder desde nuetros procesos o aplicaciones que corren en Azure a terceros recursos (ej: un KeyVault, un Data Lake Store, una SQL Database, o cualquier otra diablura) para realizar una acción limitada.

En este sentido, una herramienta que podemos utilizar son los Service Principals, el equivalente a una cuenta de servicio dentro de Azure AD, lo que nos permitirá por ejemplo autenticarnos desde código contra Azure AD para a continuación acceder a los recursos a los que tengamos permiso con esta identidad.

Teniendo en cuenta que estamos en Cloud y en Internet, no debemos olvidarnos de lo delicado que es todo esto desde el punto de vista de la seguridad. Toda preocupación es poca, si no queremos acabar llevándonos un disgusto, y más en un entorno tan cambiante como Azure. Reciclemos con periodicidad las passwords, concedamos permisos mínimos, no filtremos a nadie los datos de conexión (idealmente, que nadie conozca la password), consultemos con nuestros compañeros de Seguridad y con el equipo que administre Azure en nuestra Compañía la solución que estamos diseñando (quizás nos ofrezcan una solución mejor), etc. En el tema de la Seguridad, hay debate, pero no es el foco del presente artículo, por lo que aprovecho directamente para compartir un poco de código PowerShell de ejemplo.

Lo primero que vamos a ver es cómo crear un Service Principal desde PowerShell (también se puede hacer desde el Azure Portal), para lo cual deberemos registrar una App en Azure AD sobre la que crearemos el Service Principal (ojo, por defecto la contraseña que asignaremos caducará en un año):

$SecureStringPassword = ConvertTo-SecureString -String "My.Secure.Passw0rd!" -AsPlainText -Force

$myFakeAADApp = New-AzureRmADApplication -DisplayName "FakeApp" -HomePage "https://fakeapp" -IdentifierUris "https://fakeapp" -Password $SecureStringPassword

New-AzureRmADServicePrincipal -ApplicationId $myFakeAADApp.ApplicationId

Una vez creado, podremos utilizar nuestra App y Service Principal para logarnos en Azure desde PowerShell, para lo cual, podríamos utilizar un código como el siguiente:

$TenantID = "12345678-1234-1234-1234-123456789012"
$SubscriptionID = "12345678-1234-1234-1234-123456789012"
$AppID = "12345678-aaaa-aaaa-aaaa-123456789012"
$Password = "My.Secure.Passw0rd!"

$SecurePassword = ConvertTo-SecureString -String $Password -AsPlainText -Force
$Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $AppID, $SecurePassword

Add-AzureRmAccount -TenantId $TenantID -ServicePrincipal -SubscriptionId $SubscriptionID -Credential $Credential

Especificando en las variables, los datos de nuestro Tenant, Subscripción, el AppId y Password (Key) de nuestra Service Principal, ya sólo es cuentión de darle a ejecutar para conectarnos a Azure, ejecutar el código que necesitemos.

Recordemos que Add-AzureRmAccount, Connect-AzureRmAccount, y Login-AzureRmAccount son alias (esto se evidencia fácilmente con get-help, el man de PowerShell), por lo que podemos utilizar el que más rabia nos dé.

Finalmente deberemos desconectarnos de Azure para no dejar abierta la sesión (insisto, que toda preocupación es poca).

Disconnect-AzureRmAccount

Dos comandos que también utilizaremos en alguna que otra ocasión, son Get-AzureRmADApplication y Get-AzureRmADServicePrincipal, que nos permitirán obtener información de las Apps registradas en Azure AD y de los Service Principals. Podemos utilizarlos de diferentes formas, en función de los parámetros de entrada que usemos. A continuación se muestra un ejemplo:

PS C:\Users\guillesql> Get-AzureRmADApplication -ApplicationId "12345678-aaaa-aaaa-aaaa-123456789012"
DisplayName             : FakeApp
ObjectId                : 12345678-cccc-cccc-cccc-123456789012
IdentifierUris          : {https://fakeapp}
HomePage                : https://fakeapp
Type                    : Application
ApplicationId           : 12345678-aaaa-aaaa-aaaa-123456789012
AvailableToOtherTenants : False
AppPermissions          :
ReplyUrls               : {}

PS C:\Users\guillesql> Get-AzureRmADServicePrincipal -ObjectId "12345678-bbbb-bbbb-bbbb-123456789012" ServicePrincipalNames : {https://fakeapp, 12345678-aaaa-aaaa-aaaa-123456789012}
ApplicationId         : 12345678-aaaa-aaaa-aaaa-123456789012
DisplayName           : FakeApp
Id                    : 12345678-bbbb-bbbb-bbbb-123456789012
Type                  : ServicePrincipal

Por supuesto, antes o después necesitaremos crear una nueva contraseña (Key) para nuestra App, ya que como comentamos antes por defecto caducan al año, y de hecho es una buena práctica su reciclado por motivo evidentes de seguridad. A continuación se muestra un ejemplo en PowerShell:

$AppID = "12345678-aaaa-aaaa-aaaa-123456789012"
$Password = "My.Secure.Passw0rd!"
$SecureStringPassword = ConvertTo-SecureString $Password -AsPlainText -Force

New-AzureRmADAppCredential -ApplicationId $AppID -Password $SecureStringPassword -EndDate (New-Object System.DateTime 2099,12,31)

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

 


[Fecha del Artículo (UTC): 29/03/2018]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Junio de 2018 (4)
Mayo de 2018 (5)
Abril de 2018 (3)
Marzo de 2018 (2)
Febrero de 2018 (7)
Enero de 2018 (1)
Diciembre de 2017 (15)
Noviembre de 2017 (7)
Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas