开启MFA多因素后，AzureCli如何自动化登录

天下之事常成于困约，而败于奢靡。这篇文章主要讲述开启MFA多因素后，AzureCli如何自动化登录相关的知识，希望能为你提供帮助。
layout: post title: undefined开启MFA多因素后，AzureCli如何自动化登录undefined tags: PowerShell进阶学习 englishname: AzureCliandMFAHowToAutomaticlogon
需求由于AzureRM的PowerShell模块逐渐退出历史舞台，所以Azure的自动化登录要做一个比较大的返工，用AZ来做一个代码重构。

难点公司发给员工的Azure账户使用了MFA（多因素认证），安全的同时，这也导致以前的PowerShell脚本无法使用了针对开启MFA的账户，又想继续使用自动化的朋友来说，service principal解决起来相对比较简单。从官网这里获取资讯，开始改造代码
这里的主要逻辑是，使用MFA后，你不可以使用账号mima的形式，在PowerShell中登录。需要使用如下3要素：

应用ID
应用mima
租户ID

以及搭配 Connect-AzAccount -ServicePrincipal 的方式去登录。
应用ID和mima 那么如何获取应用ID和应用mima呢？我们可以在Azure的Portal中，使用Azure Cloud Shell登录进去，或者在本地使用 Connect-AzAccount -UseDeviceAuthentication的方式，先登录一下Azure。然后执行如下的逻辑 ```powershell #这里SPN2是随便起的 $sp = New-AzADServicePrincipal -DisplayName SPN2 警告: Assigning role Contributor over scope /subscriptions/xxxxx6-c9d0-4d95-8122-4f289f72ec2a to the new service principal. AccountSubscriptionName TenantIdEnvironment
xxxx-b6c7-4947-8ecb-0ceb7d1c9d62 500块xxx-86f1-41af-91ab-xxxxx AzureCloud ``` 执行完毕后，这个$sp对象已经拥有了我们后面要做的事情的部分信息

租户ID通过PowerShell连接，我们还需要一个租户ID信息，这个可以通过图形界面获取，下图所示的位置。
Portal→Azure Active Directory→属性
或者直接访问，这是最简单的方法。 https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties

当然在已登录的PowerShell中也是可以的

$tenantId = (Get-AzContext).Tenant.Id

应用mima解密【开启MFA多因素后，AzureCli如何自动化登录】 现在有了$sp对象，应用ID就是 $sp.ApplicationId，应用mima就是$sp.secret。但是问题是，sp.secret是个标准PowerShell加密的对象。下面的方法可以帮你解密(仅限本机) ```powershell $securestring=$sp.Secret $ptr = [System.Runtime.InteropServices.Marshal]::SecureStringToGlobalAllocUnicode($secureString) $serverpass = [System.Runtime.InteropServices.Marshal]::PtrToStringUni($ptr)
$serverpass就是我们要的应用mima$Secure=$serverpass|ConvertTo-SecureString-AsPlainText -Force $pscredential2 = New-Object -TypeName System.Management.Automation.PSCredential(undefined3f4e8213-b6c7-4947-8ecb-xxxxundefined, $Secure)
此处前半部分就是应用IDConnect-AzAccount -ServicePrincipal-Credential$pscredential -Tenant 72f988bf-86f1-41af-91ab-xxxx
此处后半部分为租户ID。 ``` 执行命令之后，系统会告诉你，本地存了一个json文件，事实上，这个json文件中也有我们刚才所需要的3种属性。
虽然这个加密聊胜于无，但是总比没有强。并且mima是一个guid串，而不是让我们手动输入，从这点来说，mima遗失不会让你的其他业务受到损失

删除连接当你使用disConnect-AzAccount的时候，那么这个json文件会被清空。如果不使用断开连接，那么何时打开PowerShell，都会自动连接到这个订阅。我们断连一下,可以看到Type是SPN类型的。 ```powershell disConnect-AzAccountId: 3f4e8213-b6c7-4947-8ecb-0ceb7d1c9d62 Type: ServicePrincipal Tenants: xxxxx-86f1-41af-91ab-xxxx AccessToken: Credential: TenantMap: CertificateThumbprint : ExtendedProperties: [Subscriptions, xxx-c9d0-4d95-8122-xxx], [Tenants, xxx-86f1-41af-91ab-xxx], [ServicePrincipalSecret, 440cb042- 0243-xxx-8031-xxx] ```
世界友好另外连接的时候可以指定云的区域，这一点是和以前一致的，方便我们登陆祖国云、国际云、德国美国云。 ```powershell PS C:\\Users\\a9y> Get-AzEnvironmentNameResource Manager UrlActiveDirectory AuthorityType
AzureChinaCloudhttps://management.chinacloudapi.cn/https://login.chinacloudapi.cn/Built-in AzureCloudhttps://management.azure.com/https://login.microsoftonline.com/ Built-in AzureGermanCloudhttps://management.microsoftazure.de/ https://login.microsoftonline.de/Built-in AzureUSGovernment https://management.usgovcloudapi.net/ https://login.microsoftonline.us/Built-inConnect-AzAccount -Environment AzureChinaCloud ```
管理账号权限可以在AAD中如下位置进行配置。应用程序ID看起来和一个账号也是类似的。更多细节我也在研究