Přihlášení pomocí Azure CLI

Pro rozhraní příkazového řádku Azure Command-Line je k dispozici několik typů ověřování, takže se můžete přihlásit? Nejjednodušší způsob, jak začít, je použít službu Azure Cloud Shell, která vás automaticky přihlásí. Místně, můžete se přihlásit interaktivně přes prohlížeč s az login příkazu. Doporučeným způsobem při psaní skriptů je použití instančních objektů. Tím, že instančnímu objektu přidělíte jenom odpovídající potřebná oprávnění, zajistíte zabezpečení automatizace.

Žádný z vašich přihlašovacích údajů není uložený v rozhraní příkazového řádku Azure CLI. Místo toho Azure vygeneruje obnovovací token ověřování a ten se uloží. Od srpna 2018 se tento token po uplynutí 90 dnů nečinnosti odvolá, ale Microsoft nebo správce vašeho tenanta může tuto hodnotu změnit. Jakmile je token odvolán, dostanete zprávu z rozhraní příkazového řádku, které je potřeba znovu přihlásit.

Po přihlášení příkazy spouštěné v rozhraní příkazového řádku běží ve výchozím předplatném. Pokud máte několik předplatných, můžete si změnit výchozí předplatné.

Interaktivní přihlášení

Výchozí metoda ověřování Azure CLI pro přihlášení používá webový prohlížeč a přístupový token pro přihlášení.

  1. Spusťte příkaz login.

    az login
    

    Pokud rozhraní příkazového řádku může otevřít výchozí prohlížeč, otevře ho a načte přihlašovací stránku Azure.

    V opačném případě otevřete stránku prohlížeče na adrese a https://aka.ms/devicelogin zadejte autorizační kód zobrazený v terminálu.

    Pokud není k dispozici žádný webový prohlížeč nebo se webový prohlížeč neotevře, použijte tok kódu zařízení pomocí příkazu az login --use-device-code.

  2. Přihlaste se pomocí přihlašovacích údajů vašeho účtu v prohlížeči.

Přihlášení pomocí přihlašovacích údajů na příkazovém řádku

Zadejte na příkazovém řádku své přihlašovací údaje uživatele Azure.

Poznámka

Tento postup nefunguje s účty Microsoft a účty s povoleným dvoufaktorovým ověřováním.

az login -u <username> -p <password>

Důležité

Pokud chcete zabránit zobrazování vašeho hesla v konzole a používáte příkaz az login interaktivně, na příkazovém řádku bash použijte příkaz read -s.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

V části PowerShell použijte Get-Credential rutinu.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Přihlášení pomocí instančního objektu

Instanční objekty jsou účty, které nejsou vázané na konkrétního uživatele a které můžou mít přiřazená oprávnění prostřednictvím předdefinovaných rolí. Ověřování pomocí instančního objektu je nejlepší způsob, jak psát bezpečné skripty nebo programy, a umožňuje používat omezení oprávnění i místně uložené statické přihlašovací údaje. Další informace o instančních objektech najdete v tématu Vytvoření instančního objektu Azure pomocí Azure CLI.

K přihlášení pomocí instančního objektu potřebuje:

  • Název nebo identifikátor URL přidružený k instančnímu objektu
  • Heslo instančního objektu nebo certifikát X509 použitý k vytvoření instančního objektu ve formátu PEM
  • Tenanta přidruženého k instančnímu objektu (doména .onmicrosoft.com nebo ID objektu Azure)

Poznámka

Certifikát musí být připojený k privátnímu klíči v souboru PEM. Příklad formátu souboru PEM naleznete v tématu ověřování na základě certifikátů.

Důležité

Pokud instanční objekt používá certifikát, který je uložený v Key Vault, musí být privátní klíč tohoto certifikátu dostupný bez přihlášení k Azure. Pokud chcete načíst certifikát pro az login , přečtěte si téma načtení certifikátu z Key Vault.

az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

Důležité

Pokud chcete zabránit zobrazování vašeho hesla v konzole a používáte příkaz az login interaktivně, na příkazovém řádku bash použijte příkaz read -s.

read -sp "Azure password: " AZ_PASS && echo && az login --service-principal -u <app-id> -p $AZ_PASS --tenant <tenant>

V části PowerShell použijte Get-Credential rutinu.

$AzCred = Get-Credential -UserName <app-id>
az login --service-principal -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password --tenant <tenant>

Přihlásit se pomocí jiného klienta

Tenanta pro přihlášení můžete vybrat pomocí argumentu --tenant. Hodnotou tohoto argumentu může být buď doména .onmicrosoft.com, nebo ID objektu Azure pro příslušného tenanta. Pro argument --tenant funguje metoda interaktivního přihlášení i přihlášení pomocí příkazového řádku.

az login --tenant <tenant>

Přihlášení pomocí spravované identity

Na prostředcích konfigurovaných pro spravované identity pro prostředky Azure se můžete přihlásit pomocí spravované identity. Přihlašování pomocí identity prostředku se provádí prostřednictvím příznaku --identity.

az login --identity

Pokud má prostředek k dispozici více spravovaných identit přiřazených uživatelem a žádné identity přiřazené systémem, musíte pro přihlášení zadat ID klienta nebo ID objektu nebo ID prostředku --username .

az login --identity --username <client_id|object_id|resource_id>

Další informace o spravovaných identitách pro prostředky Azure najdete v článcích Konfigurace spravovaných identit pro prostředky Azure a Použití spravovaných identit pro prostředky Azure k přihlášení.