总之,步骤是:
然后,您可以从Azure自动化帐户处理Azure Analysis Services多维数据集,而无需创建另一个单独的服务帐户
我正在尝试使用Azure自动化RunAs服务主体处理Azure Analysis Services多维数据集。这在Azure自动化帐户中运行
这段代码
#Get the existing AzureRunAsConnection connection
$Conn = Get-AutomationConnection -Name AzureRunAsConnection
# Login with service principal account
Login-AzureRMAccount
-ServicePrincipal
-Tenant $Conn.TenantID
-ApplicationId $Conn.ApplicationID
-CertificateThumbprint $Conn.CertificateThumbprint
# Process cube
Invoke-ProcessASDatabase -databasename "DB" -server "Server" -RefreshType "Full"
结果是
身份验证失败:当用户界面不可用时,需要用户ID和密码。
我的理解是,当您创建Azure自动化帐户时,它还会创建一个“RunAs”帐户,该帐户又会创建一个服务主体帐户。 (虽然doco似乎有点亮)
我尝试在Azure AD中找到此主帐户并将其添加到Azure门户中的SSAS管理员,但我找不到实际帐户。服务主体实际上是否显示为帐户?
下面的代码工作正常,但它使用预先保存的凭据,但我不想管理另一个帐户。
# Purpose: Run a full process the SSAS cube
$AzureCred = Get-AutomationPSCredential -Name "MyCredential"
Add-AzureRmAccount -Credential $AzureCred | Out-Null
Invoke-ProcessASDatabase -databasename "MyDB" -server "MyServer" -RefreshType "Full" -Credential $AzureCred
我还尝试在SSMS成员资格区域中手动添加这些内容(在自动化帐户的RunAs帐户区域中查找guid之后):
app:applicationid@tenantid
obj:serviceprincipalobjectid@tenantid
我收到相同的错误消息。
我还使用非管理员用户运行脚本并获得了
服务器上不存在“zzz”数据库。
所以看来我的问题是身份验证,而不是授权。换句话说,并不是我不能访问,而是我无法登录。我正在考虑基于该错误,当针对Azure Analysis服务调用-credential时,Invoke-ProcessAsDatabase不是可选的
此外,我注意到,对于-credential选项,帮助说
如果未指定凭据,则假定运行该脚本的用户的默认Windows帐户
鉴于Azure Analysis Services似乎只能在连接到数据源时使用SQL凭据(没有任何AD凭据),我只能推测Azure Analysis Services无法对内部进程使用任何类型的Azure Ad身份验证。
令人讨厌的是,这在任何地方都没有说明。
所以我没有仔细阅读链接。有效的代码主要在answerers here发布的网站上。要预先验证Azure Analysis Server,您需要使用Add-AzureAnalysisServicesAccount(链接的博客使用Login-AzureAsAccount,但我无法使其工作,无法找到doco)。您需要安装powershell模块“Azure.AnalysisServices”才能使用它。
$Conn = Get-AutomationConnection -Name AzureRunAsConnection
Add-AzureAnalysisServicesAccount -RolloutEnvironment "australiasoutheast.asazure.windows.net" -ServicePrincipal -Tenant $Conn.TenantID -ApplicationId $Conn.ApplicationID -CertificateThumbprint $Conn.CertificateThumbprint
Invoke-ProcessASDatabase -databasename "MYDB" -server "MyServerEndpoint" -RefreshType "Full"
您可以使用RunAs帐户,之后您不需要使用-credential
所以..这实际上可以工作并登录而不需要单独的凭证,但现在它无法访问数据库。我得到的不是登录错误
服务器上不存在“ZZZZ”数据库。
我似乎RunAs帐户可以访问服务器而不是数据库,我无法找到它来访问它。
这是一个更直接的指南,介绍如何让应用程序访问模型,以便构建它:
Azure analysis service connection using Service principal not working
请注意,您无法添加Azure门户,因为它无法找到它。在SSMS中“手动”添加它,它将起作用,它也将作为管理员出现在Azure门户中
这一切现在都有效。
这已经成为一个方便的地方,可以通过MSI进行身份验证
虽然这个问题已经解决,但我不想使用MSI安全性从其他东西连接到SQL Azure。没有连接字符串支持此 - 任何连接字符串中的任何身份验证方法都不支持MSI身份验证。我确实找到了这个有趣的链接,暗示你可以创建一个支持身份验证的连接字符串作为MSI:
https://docs.microsoft.com/en-us/azure/app-service/app-service-web-tutorial-connect-msi
感兴趣的代码是:
az webapp config connection-string set
--resource-group myResourceGroup
--name <app name>
--settings MyDbConnection='Server=tcp:<server_name>.database.windows.net,1433;Database=<db_name>;'
--connection-string-type SQLAzure
我找不到任何参数--connection-string-type。但看起来您只是完全排除了身份验证。
在您的示例1中,似乎不是您的登录Azure Login-AzureRMAccount获取错误日志。根据我的知识,Invoke-ProcessASDatabase不是Azure Power Shell cmdlet。实际上,您无需登录Azure订阅。只有Invoke-ProcessASDatabase -databasename "MyDB" -server "MyServer" -RefreshType "Full" -Credential $AzureCred应该适合你。
是的,如果我提供了可行的凭证,但我想使用RunAs凭证。如果我不能,那么它有什么意义呢。
RunAs credential仅适用于登录Azure订阅,它不存储SQL的凭据。在您的方案中,您可以将您的SQL凭据存储在Runbook PSCredential中,就像您的example2一样。事实上,在您的示例中,您可以删除Add-AzureRmAccount -Credential $AzureCred | Out-Null。
更新:
您应该在Runbook中使用以下脚本。
$Conn = Get-AutomationConnection -Name AzureRunAsConnection
Login-AzureASAccount -RolloutEnvironment "southcentralus.asazure.windows.net" -ServicePrincipal -ApplicationId $Conn.ApplicationID -CertificateThumbprint $Conn.CertificateThumbprint -TenantId $Conn.TenantID
Invoke-ProcessTable -Server "asazure://southcentralus.asazure.windows.net/myserver" -TableName "MyTable" -Database "MyDb" -RefreshType "Full"
有关这方面的更多信息,请查看此blog。
根据官方文件:
创建服务主体后,可以使用以下语法在Azure Analysis Services服务器或模型角色中为其应用程序ID分配权限。以下示例将服务主体添加到SSMS中的服务器管理员组。
我没有看到使用Run-as选项,我建议检查这个blog
它还包含有关在azure自动化中存储凭据的信息,这将帮助您不必在代码中写入凭据。