Interaktív bejelentkezés az Azure CLI-vel
Az Azure-ba való interaktív bejelentkezések intuitívabb és rugalmasabb felhasználói élményt nyújtanak. Az Azure CLI-vel végzett interaktív bejelentkezés lehetővé teszi a felhasználók számára, hogy közvetlenül az az bejelentkezési paranccsal hitelesítsék magukat az Azure-ban, ami hasznos az alkalmi felügyeleti feladatokhoz és a manuális bejelentkezést igénylő környezetekhez, például a többtényezős hitelesítéssel (MFA) rendelkező ügyfelekhez. Ez a módszer leegyszerűsíti a szkriptteszteléshez, a tanuláshoz és a menet közbeni felügyelethez való hozzáférést anélkül, hogy előkonfigurálnia kellene a szolgáltatásnevek vagy más neminteraktív hitelesítési módszereket.
Előfeltételek
Interaktív bejelentkezés
Interaktív bejelentkezéshez használja az az login parancsot. Az Azure CLI 2.61.0-s verziójától kezdve a Windows rendszerek a Web Account Managert (WAM) használják, a Linux és macOS rendszerek pedig alapértelmezés szerint böngészőalapú bejelentkezést használnak.
az login
Előfizetés-választó
Az Azure CLI 2.61.0-s verziójától kezdve, ha több előfizetéshez is hozzáféréssel rendelkezik, a rendszer arra kéri, hogy bejelentkezéskor válasszon ki egy Azure-előfizetést, ahogyan az az alábbi példában is látható.
Retrieving subscriptions for the selection...
[Tenant and subscription selection]
No Subscription name Subscription ID Tenant name
---- ------------------------------------ ---------------------------------------- --------------
[1] Facility Services Subscription 00000000-0000-0000-0000-000000000000 Contoso
[2] Finance Department Subscription 00000000-0000-0000-0000-000000000000 Contoso
[3] Human Resources Subscription 00000000-0000-0000-0000-000000000000 Contoso
[4] * Information Technology Subscription 00000000-0000-0000-0000-000000000000 Contoso
The default is marked with an *; the default tenant is 'Contoso' and subscription is 'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).
Select a subscription and tenant (Type a number or Enter for no changes): 2
Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)
[Announcements]
With the new Azure CLI login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236
If you encounter any problem, please open an issue at https://aka.ms/azclibug
Amikor legközelebb bejelentkezik, a korábban kijelölt bérlő és előfizetés alapértelmezettként lesz megjelölve, és a szám mellett csillag (*
) látható. Ez lehetővé teszi, hogy az Enter billentyűt lenyomva válassza ki az alapértelmezett előfizetést.
A parancsok alapértelmezés szerint a kijelölt előfizetésen futnak. az account set
Az előfizetést bármikor módosíthatja parancssorból. További információ: Azure-előfizetések kezelése az Azure CLI-vel.
Az alábbiakban néhány útmutatást talál az előfizetés-választóval kapcsolatban, amelyeket szem előtt kell tartania:
- Az előfizetés-választó csak 64 bites Windows, Linux vagy macOS rendszerben érhető el.
- Az előfizetés-választó csak a
az login
parancs használatakor érhető el. - A rendszer nem kéri az előfizetés kiválasztását, amikor szolgáltatásnévvel vagy felügyelt identitással jelentkezik be.
Ha le szeretné tiltani az előfizetés-választó funkciót, futtassa a következő parancsokat:
az config set core.login_experience_v2=off
az login
Bejelentkezés a Web Account Managerrel (WAM) Windows rendszeren
Az Azure CLI 2.61.0-s verziójától kezdve a Web Account Manager (WAM) a Windows alapértelmezett hitelesítési módszere. A WAM egy Windows 10+ összetevő, amely hitelesítési közvetítőként működik. (A hitelesítési közvetítő egy olyan alkalmazás, amely egy felhasználó gépén fut, amely kezeli a csatlakoztatott fiókok hitelesítési kézfogásait és tokenkarbantartását.)
A WAM használatának számos előnye van:
- Fokozott biztonság. Lásd: Feltételes hozzáférés: Jogkivonat-védelem (előzetes verzió).
- A Windows Hello, a feltételes hozzáférési szabályzatok és a FIDO-kulcsok támogatása.
- Egyszerűsített egyszeri bejelentkezés.
- A Windowshoz szállított hibajavítások és fejlesztések.
Ha bármilyen probléma merül fel, és vissza szeretne térni az előző böngészőalapú hitelesítési módszerre, futtassa a következő szkriptet:
az account clear
az config set core.enable_broker_on_windows=false
az login
A WAM windows 10-en és újabb verziókban, valamint Windows Server 2019 és újabb rendszereken érhető el.
Bejelentkezés böngészővel
Az Azure CLI alapértelmezés szerint böngészőalapú hitelesítési módszer, ha az alábbiak egyike igaz:
- Az operációs rendszer (OS) Mac vagy Linux, vagy a Windows operációs rendszer korábbi, mint a Windows 10 vagy a Windows Server 2019.
- A
core.enable_broker_on_windows
konfigurációs tulajdonság a következőrefalse
van állítva: .
Futtassa a következő parancsot:
az login
.az login
Ha az Azure CLI meg tudja nyitni az alapértelmezett böngészőt, elindítja az engedélyezési kódfolyamatot, és megnyitja az alapértelmezett böngészőt egy Azure-bejelentkezési oldal betöltéséhez.
Ellenkező esetben elindítja az eszköz kódfolyamatát , és arra utasítja, hogy nyisson meg egy böngészőlapot a következő helyen https://aka.ms/devicelogin: . Ezután adja meg a terminálban megjelenő kódot.
Ha nem érhető el webböngésző, vagy a webböngésző nem nyitható meg, kényszerítheti az eszközkód-folyamatot az login --use-device-code használatával.
A böngészőben jelentkezzen be fiókja hitelesítő adataival.
Bejelentkezés a hitelesítő adatokkal a parancssorban
Adja meg az Azure-felhasználó hitelesítő adatait a parancssorban. Csak ezt a hitelesítési módszert használja az Azure CLI-parancsok tanulásához. Az éles szintű alkalmazásoknak szolgáltatásnevet vagy felügyelt identitást kell használniuk.
Ez a módszer nem működik Microsoft-fiókok, valamint az engedélyezett kéttényezős hitelesítéssel rendelkező fiókok esetében. Interaktív hitelesítésre van szükség .
az login --user <username> --password <password>
Fontos
Ha el szeretné kerülni, hogy a jelszó megjelenjen a konzolon, és interaktív módon használja az az login
parancsot, használja a read -s
parancsot a bash
alatt.
read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS
A PowerShellben használja a Get-Credential
parancsmagot.
$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password
Bejelentkezés másik bérlővel
A --tenant
argumentummal kiválaszthatja, hogy melyik bérlővel szeretne bejelentkezni. Az argumentum értéke egy .onmicrosoft.com
tartomány vagy a bérlő Azure-objektumazonosítója lehet. Az interaktív és a parancssori bejelentkezési módszerek is működnek.--tenant
az login --tenant 00000000-0000-0000-0000-000000000000
A bejelentkezés után, ha módosítani szeretné az aktív bérlőt, tekintse meg az aktív bérlő módosításának útmutatóját.
Jogkivonatok frissítése
Amikor felhasználói fiókkal jelentkezik be, az Azure CLI létrehoz és tárol egy hitelesítési frissítési jogkivonatot. Mivel a hozzáférési jogkivonatok csak rövid ideig érvényesek, a rendszer a hozzáférési jogkivonat kiállításával egyidejűleg bocsát ki egy frissítési jogkivonatot. Az ügyfélalkalmazás ezután szükség esetén kicserélheti ezt a frissítési jogkivonatot egy új hozzáférési jogkivonatra. A jogkivonat élettartamával és lejáratával kapcsolatos további információkért tekintse meg a jogkivonatok frissítését a Microsoft Identitásplatform.
A hozzáférési jogkivonat lekéréséhez használja az az account get-access-token parancsot:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Íme néhány további információ a hozzáférési jogkivonat lejárati dátumairól:
- A lejárati dátumok az MSAL-alapú Azure CLI által támogatott formátumban frissülnek.
- Az Azure CLI 2.54.0-tól
az account get-access-token
kezdődően a tulajdonság mellett adja vissza aexpires_on
expiresOn
tulajdonságot a jogkivonat lejárati idejére. - A
expires_on
tulajdonság a Portable Operating System Interface (POSIX) időbélyeget jelöli, míg aexpiresOn
tulajdonság helyi dátumidőt jelöl. - A
expiresOn
tulajdonság nem fejezi ki a "fold" kifejezést, ha a nyári időszámítás véget ér. Ez problémákat okozhat azokban az országokban vagy régiókban, ahol a nyári időszámítást elfogadják. A "fold"-ról további információt a PEP 495 – Helyi idő egyértelműsítése című témakörben talál. - Javasoljuk, hogy az alsóbb rétegbeli alkalmazások használják a
expires_on
tulajdonságot, mert az univerzális időkódot (UTC) használja.
Példa a kimenetre:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Hibaelhárítás
Ha az alapértelmezett böngésző a Microsoft Edge, a következő hibaüzenet jelenhet meg, amikor interaktív módon az login
próbál bejelentkezni az Azure-ba: "A webhely kapcsolata nem biztonságos". A probléma megoldásához látogasson el edge://net-internals/#hsts a Microsoft Edge-ben. Adja hozzá a "Tartománybiztonsági szabályzat törlése" területen, és válassza a Törlés lehetőséget.localhost
Lásd még
- Az Azure CLI bevezetési csalási lapja
- Azure CLI-minták és közzétett dokumentumok keresése