Interaktív bejelentkezés az Azure CLI-vel

Az Azure-ba való interaktív bejelentkezések intuitívabb és rugalmasabb felhasználói élményt nyújtanak. Az Azure CLI-vel végzett interaktív bejelentkezés lehetővé teszi a felhasználók számára, hogy közvetlenül az az bejelentkezési paranccsal hitelesítsék magukat az Azure-ban, ami hasznos az alkalmi felügyeleti feladatokhoz és a manuális bejelentkezést igénylő környezetekhez, például a többtényezős hitelesítéssel (MFA) rendelkező ügyfelekhez. Ez a módszer leegyszerűsíti a szkriptteszteléshez, a tanuláshoz és a menet közbeni felügyelethez való hozzáférést anélkül, hogy előkonfigurálnia kellene a szolgáltatásnevek vagy más neminteraktív hitelesítési módszereket.

Előfeltételek

• Telepítse az Azure CLI-t

Interaktív bejelentkezés

Interaktív bejelentkezéshez használja az az login parancsot. Az Azure CLI 2.61.0-s verziójától kezdve a Windows rendszerek a Web Account Managert (WAM) használják, a Linux és macOS rendszerek pedig alapértelmezés szerint böngészőalapú bejelentkezést használnak.

az login

Előfizetés-választó

Az Azure CLI 2.61.0-s verziójától kezdve, ha több előfizetéshez is hozzáféréssel rendelkezik, a rendszer arra kéri, hogy bejelentkezéskor válasszon ki egy Azure-előfizetést, ahogyan az az alábbi példában is látható.

Retrieving subscriptions for the selection...

[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4] * Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is 'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).

Select a subscription and tenant (Type a number or Enter for no changes): 2

Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)

[Announcements]
With the new Azure CLI login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236

If you encounter any problem, please open an issue at https://aka.ms/azclibug

Amikor legközelebb bejelentkezik, a korábban kijelölt bérlő és előfizetés alapértelmezettként lesz megjelölve, és a szám mellett csillag (*) látható. Ez lehetővé teszi, hogy az Enter billentyűt lenyomva válassza ki az alapértelmezett előfizetést.

A parancsok alapértelmezés szerint a kijelölt előfizetésen futnak. az account set Az előfizetést bármikor módosíthatja parancssorból. További információ: Azure-előfizetések kezelése az Azure CLI-vel.

Az alábbiakban néhány útmutatást talál az előfizetés-választóval kapcsolatban, amelyeket szem előtt kell tartania:

• Az előfizetés-választó csak 64 bites Windows, Linux vagy macOS rendszerben érhető el.
• Az előfizetés-választó csak a az login parancs használatakor érhető el.
• A rendszer nem kéri az előfizetés kiválasztását, amikor szolgáltatásnévvel vagy felügyelt identitással jelentkezik be.

Ha le szeretné tiltani az előfizetés-választó funkciót, futtassa a következő parancsokat:

az config set core.login_experience_v2=off
az login

Bejelentkezés a Web Account Managerrel (WAM) Windows rendszeren

Az Azure CLI 2.61.0-s verziójától kezdve a Web Account Manager (WAM) a Windows alapértelmezett hitelesítési módszere. A WAM egy Windows 10+ összetevő, amely hitelesítési közvetítőként működik. (A hitelesítési közvetítő egy olyan alkalmazás, amely egy felhasználó gépén fut, amely kezeli a csatlakoztatott fiókok hitelesítési kézfogásait és tokenkarbantartását.)

A WAM használatának számos előnye van:

• Fokozott biztonság. Lásd: Feltételes hozzáférés: Jogkivonat-védelem (előzetes verzió).
• A Windows Hello, a feltételes hozzáférési szabályzatok és a FIDO-kulcsok támogatása.
• Egyszerűsített egyszeri bejelentkezés.
• A Windowshoz szállított hibajavítások és fejlesztések.

Ha bármilyen probléma merül fel, és vissza szeretne térni az előző böngészőalapú hitelesítési módszerre, futtassa a következő szkriptet:

az account clear
az config set core.enable_broker_on_windows=false
az login

A WAM windows 10-en és újabb verziókban, valamint Windows Server 2019 és újabb rendszereken érhető el.

Bejelentkezés böngészővel

Az Azure CLI alapértelmezés szerint böngészőalapú hitelesítési módszer, ha az alábbiak egyike igaz:

• Az operációs rendszer (OS) Mac vagy Linux, vagy a Windows operációs rendszer korábbi, mint a Windows 10 vagy a Windows Server 2019.
• A core.enable_broker_on_windows konfigurációs tulajdonság a következőre falsevan állítva: .

1. Futtassa a következő parancsot: az login.

   az login
   

   Ha az Azure CLI meg tudja nyitni az alapértelmezett böngészőt, elindítja az engedélyezési kódfolyamatot, és megnyitja az alapértelmezett böngészőt egy Azure-bejelentkezési oldal betöltéséhez.

   Ellenkező esetben elindítja az eszköz kódfolyamatát , és arra utasítja, hogy nyisson meg egy böngészőlapot a következő helyen https://aka.ms/devicelogin: . Ezután adja meg a terminálban megjelenő kódot.

   Ha nem érhető el webböngésző, vagy a webböngésző nem nyitható meg, kényszerítheti az eszközkód-folyamatot az login --use-device-code használatával.

2. A böngészőben jelentkezzen be fiókja hitelesítő adataival.

Bejelentkezés a hitelesítő adatokkal a parancssorban

Adja meg az Azure-felhasználó hitelesítő adatait a parancssorban. Csak ezt a hitelesítési módszert használja az Azure CLI-parancsok tanulásához. Az éles szintű alkalmazásoknak szolgáltatásnevet vagy felügyelt identitást kell használniuk.

Ez a módszer nem működik Microsoft-fiókok, valamint az engedélyezett kéttényezős hitelesítéssel rendelkező fiókok esetében. Interaktív hitelesítésre van szükség .

az login --user <username> --password <password>

Fontos

Ha el szeretné kerülni, hogy a jelszó megjelenjen a konzolon, és interaktív módon használja az az login parancsot, használja a read -s parancsot a bash alatt.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

A PowerShellben használja a Get-Credential parancsmagot.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Bejelentkezés másik bérlővel

A --tenant argumentummal kiválaszthatja, hogy melyik bérlővel szeretne bejelentkezni. Az argumentum értéke egy .onmicrosoft.com tartomány vagy a bérlő Azure-objektumazonosítója lehet. Az interaktív és a parancssori bejelentkezési módszerek is működnek.--tenant

az login --tenant 00000000-0000-0000-0000-000000000000

A bejelentkezés után, ha módosítani szeretné az aktív bérlőt, tekintse meg az aktív bérlő módosításának útmutatóját.

Jogkivonatok frissítése

Amikor felhasználói fiókkal jelentkezik be, az Azure CLI létrehoz és tárol egy hitelesítési frissítési jogkivonatot. Mivel a hozzáférési jogkivonatok csak rövid ideig érvényesek, a rendszer a hozzáférési jogkivonat kiállításával egyidejűleg bocsát ki egy frissítési jogkivonatot. Az ügyfélalkalmazás ezután szükség esetén kicserélheti ezt a frissítési jogkivonatot egy új hozzáférési jogkivonatra. A jogkivonat élettartamával és lejáratával kapcsolatos további információkért tekintse meg a jogkivonatok frissítését a Microsoft Identitásplatform.

A hozzáférési jogkivonat lekéréséhez használja az az account get-access-token parancsot:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Íme néhány további információ a hozzáférési jogkivonat lejárati dátumairól:

• A lejárati dátumok az MSAL-alapú Azure CLI által támogatott formátumban frissülnek.
• Az Azure CLI 2.54.0-tól az account get-access-token kezdődően a tulajdonság mellett adja vissza a expires_onexpiresOn tulajdonságot a jogkivonat lejárati idejére.
• A expires_on tulajdonság a Portable Operating System Interface (POSIX) időbélyeget jelöli, míg a expiresOn tulajdonság helyi dátumidőt jelöl.
• A expiresOn tulajdonság nem fejezi ki a "fold" kifejezést, ha a nyári időszámítás véget ér. Ez problémákat okozhat azokban az országokban vagy régiókban, ahol a nyári időszámítást elfogadják. A "fold"-ról további információt a PEP 495 – Helyi idő egyértelműsítése című témakörben talál.
• Javasoljuk, hogy az alsóbb rétegbeli alkalmazások használják a expires_on tulajdonságot, mert az univerzális időkódot (UTC) használja.

Példa a kimenetre:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Hibaelhárítás

Ha az alapértelmezett böngésző a Microsoft Edge, a következő hibaüzenet jelenhet meg, amikor interaktív módon az loginpróbál bejelentkezni az Azure-ba: "A webhely kapcsolata nem biztonságos". A probléma megoldásához látogasson el edge://net-internals/#hsts a Microsoft Edge-ben. Adja hozzá a "Tartománybiztonsági szabályzat törlése" területen, és válassza a Törlés lehetőséget.localhost

Lásd még

• Az Azure CLI bevezetési csalási lapja
• Azure CLI-minták és közzétett dokumentumok keresése